KT 홈페이지를 통해 개인정보 980만건이 유출된 사고와 관련 방송통신위원회가 행정처분결정을 내릴 수 있을까? 행정처분을 내리려면 해킹과 KT 사이의 인과관계를 분명하게 밝혀야 하는데, 보안 업계 전문가들은 그러기가 쉽지 않다는데 무게를 두는 모습이다.
19일 전체회의를 통해 이 문제를 논의한 방통위는 KT가 운영 중인 요금조회 홈페이지인 마이올레, 포인트 조회 홈페이지인 올레클럽 및 올레는 정보통신망법 28조 제2항 제2호 접근통제를 위반했다고 밝혔다.
KT는 기본적인 보안조치를 다했는데도 불구하고 사고가 났기 때문에 '어쩔 수 없는 일이었다'는 입장이지만 방통위 사무국은 기술적, 관리적 보호조치가 충분히 이뤄지지 않았다고 주장했다.
문제가 된 마이올레는 해커가 파로스라는 일반적인 프록시 해킹툴을 악용, 인증정보를 조작(파라미터 변조)해 특정 ID로 수차례 요금명세서를 조회를 위한 정보를 입력하도록 허용했다. 특정ID로 해당 사이트 내 9자리 고객정보조회번호를 무작위로 입력, 이 중 조회가 된 번호에 포함된 개인정보를 유출시켰다. 특정IP에서 하루 최대 34만1천279건의 개인정보조회가 이뤄진 것이다.
익명을 요구한 국내 보안전문가는 특정 IP를 통해 하루 34만건, 평균 10만건 이상 조회가 이뤄졌다면 한번쯤 비정상이라고 생각해서 확인을 했어야 했다고 말했다. 그러나 이 전문가는 인과관계를 확실하게 구분하기는 쉽지 않을 것으로 봤다.
하루 평균 KT 관련 홈페이지에 접속해 정보를 조회하는 건수는 약 3천만건에 달하는 것으로 알려졌다. 수많은 IP를 세부적으로 모니터링하는 것은 어렵지만 적어도 전체 조회 건수의 1%에 달하는 조회가 특정 IP를 통해 이뤄졌다면 회사 입장에선 일단 의심을 해봐야 한다는 것이 대체적인 시각이다.
방통위 역시 전체회의에서 마이올레를 통해 요금명세서를 조회할 때 고객서비스계약번호 입력시 본인일치 여부를 추가 인증하는 단계가 없었고, 특정인이 최대 34만건을 조회했는데도 탐지하지 못했다는 점을 들어 KT가 정보통신망법 상 접근통제 관련 법을 위반했다는 입장을 보였다.
원래 관리자ID를 통해 내부망에서만 조회가 가능해야 했으나 외부 인터넷망을 통해 퇴직자ID로 접속해 개인정보 조회가 가능했던 올레닷컴, 올레 홈페이지와 관련해서도 방통위는 KT가 망법 상 접근통제를 위반했다고 밝혔다.
또 일단 내부 DB에 접근이 허용된 사용자가 개인정보를 조회하는 업무를 수행하는 것에 대해서 별도 암호화 조치를 하고 있지 않았다는 점을 들어 정보통신망법 28조 제1항 제4호(암호화 기술 적용)를 위반했다고 덧붙였다.
이에 대해 KT측은 해킹사고와 기존에 수행해 왔던 기술적, 관리적 보호조치 사이에 인과관계가 없고, 문제는 있었지만 기본적인 의무는 다했기 때문에 행정처분을 받을 사항은 아니라고 주장한다.
전체회의에 참석했던 KT측 법률대리인 김진한 변호사는 마이올레의 경우 파라미터 변조 방지 등에 대한 고시 규정이 존재하지 않는다며 '파일변조나 추가변조에 대한 조치가 미흡하다고 하는데 (망법이 정하는) 보호조치를 위반한 것은 아니라고 본다고 말했다.
김 변호사는 이어 하루 평균 34만건 조회수는 해당 홈페이지에 집계되는 전체 트래픽 3천만건에 비해 적은 건수로 다른 사업자도 비슷하다고 해명했다. 올레닷컴, 올레 홈페이지 개인정보조회건에 대해서는 단순 정보조회만으로는 누출로 보기 어렵다는 입장이다.
망법 상 과징금을 부과할 수 있는 '누출'은 중요정보가 유출돼 유통된 것을 말한다. 방통위는 개인정보 조회만으로도 사진을 찍거나 화면캡처 등을 통해 저장된 뒤 유통될 수 있는 누출로 봤다.
관련기사
- 방통위, 개인정보 유출 KT 행정처분 연기2014.06.22
- 경찰, KT 해킹 보안책임자 등 2명 불구속 기소2014.06.22
- KT 정보 털리는 와중에도 정부는 "양호" 판정2014.06.22
- KT 턴 해커가 악용한 파로스는 어떤 툴?2014.06.22
이 같은 공방에 대해 네이트 개인정보유출 관련 민사소송을 진행했던 법무법인 민후 김경환 변호사는 인과관계만 놓고보면 행정처분이 쉽지 않을 수 있지만 해킹 자체에 대한 책임을 물어 법정에서 필요한 처분을 내려야 한다는 입장이다. 삼풍백화점 사고 때도 그랬다는 것이다. 그는 방통위가 인과관계 여부를 직접 판단하기보다는 법원에서 법리 다툼을 벌이는 것이 맞을 것으로 본다고 말했다.
방통위는 이르면 이번주 KT 해킹 사건에 대해 행정처분 관련해 결론을 낼 예정이다.