KT 홈페이지 개인정보 유출 사건

 




1. 2016년 사건(SNS를 통한 정보유출)
1.1. 개요
1.2. 이번이 처음이 아니다
1.3. 보안상 위험성
1.4. KT의 입장
2. 2014년 사건(1200만명 정보유출)
2.1. 개요
2.2. 사건 경위
2.3. 보안상 문제점
2.4. KT 공식 사과문
2.5. 이야기거리
3. 2012년 사건(800여만명 유출)


1. 2016년 사건(SNS를 통한 정보유출)



1.1. 개요


2016년 9월 23일 대한민국 통신사인 KT의 직원들이 소셜네트워킹서비스(SNS)를 활용하여 약 3,000여건 이상 개인정보가 공유된 사건이다. 수 백만명의 정보가 유출되었던 지난 사건들에 비해 규모가 작게 보일지도 모르지만, 공개된 정보들은 더 심각하다. 비밀번호도 걸려있지 않는 SNS를 통하여 공개된 개인정보는 가입자들의 주민등록증, 가입신청서 뿐만 아니라 실제 현관문 비밀번호 등이 유출되었다.

1.2. 이번이 처음이 아니다


KT에서 정보가 유출된 것은 이번만이 아니다. 이번 사건은 SNS를 통해 개인정보가 돌아다니다 2차 범죄 발생 전 발각되어 피해를 막을 수 있었다. 하지만, 지난 4년 간 KT는 두 번이나 해킹을 통하여 개인 정보가 유출된 전례가 있다.
2년 전인 2014년 3월 6일, KT 홈페이지가 해킹당해 가입고객 1천 600만명 중 1천 200만명의 개인정보가 유출된 사건이 있었다. 유출된 개인정보 등이 텔레마케팅이 활용되어 휴대전화 개통 및 판매 영업에 이용되었다. 뿐만 아니라 500만건의 정보는 다른 휴대전화 대리점 3곳에 팔아넘겨졌다.
뿐만아니라 2012년에도 전산망을 해킹당해 가입자 873만명의 개인정보가 유출된 전력이 있다. KT의 개인정보 관리 및 보안에 큰 허점이 있다는 비판이 제기되고 있다. 2년전 당시 표현명 KT 개인고객부문 사장이 나서 사과문을 발표하고 "세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다."고 약속했지만 2년 뒤에 '''그보다 많은 개인정보가 유출된 것이다.'''
2012년 당시 전문적인 해커가 해킹을 진행한 사안이여서 그나마 쉴드칠 구멍이 있었는데, 2014년에는 해킹 범인들이 KT 가입자 1천200만 명의 개인정보를 빼내는 데 사용된 해킹 프로그램이 누구나 쉽게 사용할 수 있는 '파로스 프록시'(Parosproxy)라는 프로그램으로 밝혀져 KT가 보안의 기본을 지키지 않았다는 지적이 보안업계에서 나오고 있다. 한마디로 2012년에 처음으로 해킹을 당한 후 이미 800만여명의 개인정보를 해킹당해 놓고서 아무런 대책도 세우지 않았다는 의미.
반복된 정보 유출 사태에도 변화된 모습없이 일관된 KT의 모습에 아쉬울 따름이다.

1.3. 보안상 위험성


1. KT가 유출한 정보는 SNS 상에 공개되었다. 비공개 SNS에 업로드한 경우에도 심각한 위험성을 불러일으킬 수 있는데 이들은 심지어 비밀번호도 걸려있지 않았다. (네이버BAND만 알면 누구나 정보를 볼 수 있다.)
2. 개인정보가 노출되었다고 찾은 네이버BAND는 25개였다. (미처 찾지 못한 네이버BAND들도 존재할 것이라는 이야기.)
3. KT의 네트워크 개통, 유지, 보수 담당자들은 아파트나 오피스텔의 공동 현관문, 장비실 등의 출입문 비밀번호를 밴드에 올려놓고 공유하였다. 다수가 거주하는 공동주택의 보안시스템에 구멍이 뚫린 것.
4. KT 기지국 등 통신시설의 출입문 비밀번호도 밴드를 통해 공유되었다. 영업전산 시스템의 ID와 PW도 포함된 것이다.
5. 국가기간통신망 운영사업자인 KT의 통신시설은 국가 중요 기간시설이다.
6. KT 영업 전산 시스템의 ID와 PW를 활용하여 외부인이 접근할 경우, 외부인이 이용료 조작도 가능하다.
7. 국가 중요 기간시설의 주요기밀정보가 노출돼 오과금 청구 등 가입자들이 크고 작은 피해를 입을 수 있다.
8. 실제로 네이버BAND에서 얻은 비밀번호를 활용하여 원룸텔의 문이 열렸다.

1.4. KT의 입장


KT는 휴대전화 가입 업무나 장비 수리를 맡은 직원 일부가 정보를 공유하다 생긴 일이라며 답변했다. 2016년 9월 23일, 해당 SNS를 모두 폐쇄하고 정보도 삭제했다고 발표하였다. 정보가 공개된 개인들에게 특별한 사과는 없었다.

2. 2014년 사건(1200만명 정보유출)


#
[image]

2.1. 개요


2014년 3월 6일 대한민국 통신사인 KT 홈페이지가 해킹당해 가입고객 1천600만명 중 1천200만명의 개인정보가 유출된 사건이다. 1억 5천만건의 개인정보가 유출된 카드사 개인정보 유출사건가 발생한지 '''3달도 지나지 않아''' 또다른 대형 개인정보 유출사고가 발생하고 말았다. 저번 사건에 비해 규모가 1/10으로 작게 보일지도 모르나, '''이번엔 중복이 없다.''' 국민의 1/5 이상의 개인정보가 유출된 것이다.

2.2. 사건 경위


KT와 제휴를 맺고 있는 텔레마케팅 업체 대표 박모(37)씨가 영업을 위해 전문해커 김모(29)씨와 정모(38)씨와 공모하여 '파로스 프록시'(Parosproxy)라는 오픈소스 프로그램을 이용, 변조하여, 고객고유번호 9자리를 무작위로 수차례 입력하는 프로그램을 제작했다. KT 개인정보 전산망에 고객 고유번호 9자리만 입력하면 모든 개인정보를 열람할 수 있다는 점을 악용한 것이다. 한마디로 해킹이라고 하기도 뭐한 '''아주 고전적인 방법을 사용'''하여 무려 1200여만명의 개인정보를 유출시킨 것이다.
지금까지 유출된것으로 확인된 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 한마디로 또다시 대량으로 정보가 유출된 것.
이들은 이렇게 유출시킨 개인정보를 텔레마케팅에 활용하여 휴대전화 개통·판매 영업에 활용했다. 이들은 인천시 남구 주안동에 텔레마케팅 업체를 차려놓고 텔레마케터 80여 명을 고용, 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다고 현혹했다. 이들은 최근 1년간 이런 수법으로 1만1천여 대의 휴대전화를 판매, 115억원의 매출을 거둔 것으로 알려졌다. 또 확보한 개인정보 중 500만건의 정보는 '''다른 휴대전화 대리점 3곳에 팔아넘겼다.'''

2.3. 보안상 문제점



1. 정상적인 접근인지 검증하는 단계 따윈 없다.(아무 숫자나 넣으면 정보를 불러온다.)
2. 1년동안 최소 1266만건의 비 정상적인 접근이 있었지만 아무도 몰랐다. 정보를 무식하게 한건씩 뽑아오는데도 말이다. 심지어 특정 IP로 하루 최대 34만건 접속을 했으나 감지하지 못했다.관련기사 ( ) ( )
3. 사용자에게 보내지 않아도 될 중요 개인정보를 전부 보낸후 클라이언트에서 표시만 안되게 했다
4. '''브라우저에 내장된''' 웹 개발자 도구만 사용하면 모든 정보를 볼수 있다.
5. kt가 유출한 정보는 요금 정보, 부가 서비스, 미납 요금, 휴대폰 구입일, 할부 약정 종료일, 한달 할부 납부 금액, 휴대폰 기종, 남은 할부금, 고객번호, 이름, 사용기간, 주민등록번호, 자동이체 은행코드, 카드사 정보, 카드 유효기간, 집주소, 가입한 요금제, 이메일 주소, 우편번호, 휴대폰 고유 일련번호, 번호이동한 통신사와 해당 날짜, 유심카드 일련번호, 아이디 등이다. '''이러한 정보들이 이용대금 명세서 조회시 필요한가?'''
문제점 지적 유출된 정보 상세 분석

2.4. KT 공식 사과문


KT는 결국 2012년에 이어서 2014년에도 또다시 정보유출 사건을 사죄하는 사과문을 작성하게 되었다. 그런데 이번 사과문에도 '''세세한 후속 대책이나 보상관련 이야기는 한마디도 없이''' 그냥 죄송하다는 표현만 잔뜩 들어가 있다.
'''고객 여러분께 심려를 끼쳐드려 죄송합니다.'''
고객님의 소중한 개인정보를 안전하게 보호하기 위해 최우선으로 노력해 왔으나, 이유 여하를 불문하고 고객님의 소중한 정보가 유출되어 송구스럽게 생각합니다.
관련 부처와 협조하여 추가적인 고객 피해가 발생하지 않도록 하겠습니다.
이번 일을 계기호 내부 보안체계를 더욱 강화하여 향후 이러한 일이 다시는 일어나지 않도록 최선의 노력을 다하겠습니다.
KT를 믿고 사랑해 주시는 고객님께 심려를 끼쳐드려 진심으로 죄송합니다.
※ 정보유출 여부 확인은 해당 자료를 확보하는 대로 홈페이지에 시스템을 구현할 예정입니다. 양해해 주시기 바랍니다.
그리고 개인정보가 유출된 고객들을 대상으로 서면 사과문이 배달되었다. 하지만 여기에도 '''보상 이야기는 없다.'''
[image]

2.5. 이야기거리


[image]
  • SK텔레콤은 공식 트위터에서 이 사건에 대해 자사의 최근 CF 문구로 실컷 디스를 하며 놀려댔으나, 이를 본 트위터리안들이 네이트닷컴이 대량으로 털렸던 SK컴즈 개인정보 유출 사건를 언급하며 넌씨눈 취급하며 극딜을 했고, 결국 몇시간 후 트윗은 삭제됐다. 다만 링크가 걸렸던 블로그 포스트는 남아있다.#
  • 고객센터가 이 일에 연루되어 있기 때문에 뭇 유저들은 게임도 아닌데 명검을 하사받았다. 그런데 여기에는 모바일 사용량 조회가 포함되어 있어 고객들이 암흑 속에서 사용량을 조절해야 하는 막장 상황이 펼쳐지게 되었다. 그나마 핸드폰쪽의 경우는 문자 고객센터가 있어 문자만 보내면 사용량이 오기는 하는데, olleh 와이브로의 경우 그냥 망했다.
  • 법원이 KT가 해당사건에 대한 과징금을 낼 필요가 없다고 판결했다(...).해당기사

3. 2012년 사건(800여만명 유출)


KT 영업시스템이 해킹당해 휴대전화 가입자 870만명의 개인정보가 유출됐다.
하지만 그 전부터 해킹당했던 것이 지금 밝혀진 것으로 2월부터 빼내어 텔레마케팅에 활용되었다고 한다.
유출된 개인정보는 이름과 주민등록번호, 휴대전화번호와 사용 요금제, 기기변경일 등이다.
올레 홈페이지에서 조회할 수 있는데 조회해서 정보유출에 해당되는 사람이라면 '''"정보가 유출되었으나 전량 회수되었다."'''는 말을 볼 수 있다. 카드사에서 개인정보 유출이 되었을때도 회수라는 멍청한 소리는 안했다.
아래는 '''정말 말뿐이였던''' 사과문.

'''머리 숙여 사과 드립니다.'''
kt를 사랑해 주시는 고객 여러분,
저희 kt는 고객님의 개인정보보호에 최우선으로 노력해왔으나, 소중한 고객님의 정보가 유출된 점에 대해 머리 숙여 사과 드립니다.
경찰 수사결과발표를 통해 밝혀진 바와 같이 이번 사고는 그 동안 국내에서 음성적으로 활동해 온 범죄 조직들이 침해를 시도한 것으로 확인되었으며 그 과정에서 KT는 일부 고객님의 개인정보가 용의자에 불법 수집되는 상황을 감지하고, 경찰에 즉시 신고하여 현재 범죄 조직 전원이 검거되고, 범죄 조직이 불법 수집한 개인정보 또한 전량 회수되었습니다.
kt는 침해 감지 이후 불법으로 접근한 IP를 즉시 차단하고 보안을 한층 더 강화하는 한편, 지속적인 감시로 더 이상의 피해가 발생되지 않도록 조치를 완료하였습니다.
kt는 이번 일을 계기로 내부 보안체계 강화와 전 직원의 보안의식을 철저히 하여, 향후 이러한 일이 다시는 발생하지 않도록 최선의 노력을 다하겠습니다.
항상 kt를 믿고 사랑해 주시는 고객님께 심려를 끼쳐 드리게 되어다시 한번 진심으로 사과 드립니다.
2014년 8월 1심 판결 결과 KT가 1인당 10만원씩 배상하라고 판결이 나왔다. 이 판결 자체가 매우 이례적인데 우리나라는 전통적(?)으로 개인정보 유출에 매우 관대했고 KT쪽의 변호팀이 김앤장임에도 이러한 결과가 나왔다. KT는 항소하겠다며 명언을 남겼다. KT는 “법원이 개인정보 유출과 관련해 KT의 책임을 인정한 것은 유감”이라며 (후략) 관련기사 인용
그리고 2018년 12월 대법원이 KT의 개인정보 유출에 대한 손해배상 책임이 없다고 판결을 내렸다. 기사