[김국배기자] KT 해킹 사건이 발생하면서 1천200만 건의 고객정보가 유출됐다. 특히 하루에 많게는 20만~30만 명의 고객 정보가 빠져나가는 데도 KT 측은 이를 1년이 넘도록 알아차리지 못했다.
문제는 고도화된 해킹 기술이 사용되지 않았는데도 피해는 컸다는 것. 보안 전문가들은 이번 정보 유출 사건은 KT 고객센터 웹페이지가 지닌 취약성에서 비롯된 것으로 분석하고 있다. 신종 해킹 기술은 사용되지 않았고 자체 취약성이 화를 자초했다는 것이다.
실제로 이번 해킹에 사용된 것으로 알려진 파로스 프로그램은 웹 트래픽을 분석할 때 사용되는 도구로 해킹에 빈번히 악용되지만 비교적 난이도가 낮은 공격에 쓰인다는 게 전문가들의 설명이다. 파로스는 인터넷에서 검색만 하면 누구나 쉽게 다운로드 받을 수 있다.
◆신종 해킹 수법 아닌 웹페이지 취약성 원인
보안 전문가들이 웹페이지 취약성으로 보는 부분은 '인증'이다.
이번 해킹은 일단 해커가 KT 고객으로 가입해 고객센터 홈페이지에 로그인 한 뒤 나타나는 9자리 숫자인 고객정보를 악용했다. 고객고유번호는 KT 서비스 가입자 개개인에게 부여하는 특정번호다.
해커는 이용대금 조회 시 클라이언트 PC가 서버로 던지는 '쿼리(질의어)'를 파로스를 통해 붙잡고 고유번호를 바꿨다. 이를 서버가 번호 입력자가 고유번호의 원래 주인이 맞는지 확인하는 인증 절차를 거치지 않고 그대로 정보를 보여준 것이다. 보안전문가들이 인증 취약을 지목하는 대목이다.
따라서 해커는 KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌려 때때로 이 숫자가 누군가의 실제 고유번호와 맞아떨어질 때마다 개인정보를 빼낼 수 있었다.
익명을 원한 외국계 보안업체 한 관계자는 "쿼리를 확인하는 절차를 더 강화했어야 했다"고 지적했다. 해커 출신인 홍민표 에스이웍스 대표도 "숫자로만 구성돼 있다면 대단히 쉽게 많은 정보를 유추해서 가져올 수 있을 것"이라고 말했다.
이 때문에 보안담당자의 관리소홀에 앞서 웹서비스 개발과 서비스 제공 프로세스가 근본적인 원인이라는 분석도 있다.
웹보안 업체 블루코트코리아 김창오 기술이사는 "반복적으로 인증에 실패하는 경우 이를 차단하거나 로그인 정보와 비교해 사용자 정보를 조회하는 등의 조치가 보완돼야 한다"며 "또 비정상적인 사용에 대한 모니터링 체계가 강화돼야 할 것"이라고 조언했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기