KT 홈페이지 개인정보 유출 사건
1. 2016년 사건(SNS를 통한 정보유출)
1.1. 개요
2016년 9월 23일 대한민국 통신사인 KT의 직원들이 소셜네트워킹서비스(SNS)를 활용하여 약 3,000여건 이상 개인정보가 공유된 사건이다. 수 백만명의 정보가 유출되었던 지난 사건들에 비해 규모가 작게 보일지도 모르지만, 공개된 정보들은 더 심각하다. 비밀번호도 걸려있지 않는 SNS를 통하여 공개된 개인정보는 가입자들의 주민등록증, 가입신청서 뿐만 아니라 실제 현관문 비밀번호 등이 유출되었다.
1.2. 이번이 처음이 아니다
KT에서 정보가 유출된 것은 이번만이 아니다. 이번 사건은 SNS를 통해 개인정보가 돌아다니다 2차 범죄 발생 전 발각되어 피해를 막을 수 있었다. 하지만, 지난 4년 간 KT는 두 번이나 해킹을 통하여 개인 정보가 유출된 전례가 있다.
2년 전인 2014년 3월 6일, KT 홈페이지가 해킹당해 가입고객 1천 600만명 중 1천 200만명의 개인정보가 유출된 사건이 있었다. 유출된 개인정보 등이 텔레마케팅이 활용되어 휴대전화 개통 및 판매 영업에 이용되었다. 뿐만 아니라 500만건의 정보는 다른 휴대전화 대리점 3곳에 팔아넘겨졌다.
뿐만아니라 2012년에도 전산망을 해킹당해 가입자 873만명의 개인정보가 유출된 전력이 있다. KT의 개인정보 관리 및 보안에 큰 허점이 있다는 비판이 제기되고 있다. 2년전 당시 표현명 KT 개인고객부문 사장이 나서 사과문을 발표하고 "세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다."고 약속했지만 2년 뒤에 '''그보다 많은 개인정보가 유출된 것이다.'''
2012년 당시 전문적인 해커가 해킹을 진행한 사안이여서 그나마 쉴드칠 구멍이 있었는데, 2014년에는 해킹 범인들이 KT 가입자 1천200만 명의 개인정보를 빼내는 데 사용된 해킹 프로그램이 누구나 쉽게 사용할 수 있는 '파로스 프록시'(Parosproxy)라는 프로그램으로 밝혀져 KT가 보안의 기본을 지키지 않았다는 지적이 보안업계에서 나오고 있다. 한마디로 2012년에 처음으로 해킹을 당한 후 이미 800만여명의 개인정보를 해킹당해 놓고서 아무런 대책도 세우지 않았다는 의미.
반복된 정보 유출 사태에도 변화된 모습없이 일관된 KT의 모습에 아쉬울 따름이다.
1.3. 보안상 위험성
1. KT가 유출한 정보는 SNS 상에 공개되었다. 비공개 SNS에 업로드한 경우에도 심각한 위험성을 불러일으킬 수 있는데 이들은 심지어 비밀번호도 걸려있지 않았다. (네이버BAND만 알면 누구나 정보를 볼 수 있다.)
2. 개인정보가 노출되었다고 찾은 네이버BAND는 25개였다. (미처 찾지 못한 네이버BAND들도 존재할 것이라는 이야기.)
3. KT의 네트워크 개통, 유지, 보수 담당자들은 아파트나 오피스텔의 공동 현관문, 장비실 등의 출입문 비밀번호를 밴드에 올려놓고 공유하였다. 다수가 거주하는 공동주택의 보안시스템에 구멍이 뚫린 것.
4. KT 기지국 등 통신시설의 출입문 비밀번호도 밴드를 통해 공유되었다. 영업전산 시스템의 ID와 PW도 포함된 것이다.
5. 국가기간통신망 운영사업자인 KT의 통신시설은 국가 중요 기간시설이다.
6. KT 영업 전산 시스템의 ID와 PW를 활용하여 외부인이 접근할 경우, 외부인이 이용료 조작도 가능하다.
7. 국가 중요 기간시설의 주요기밀정보가 노출돼 오과금 청구 등 가입자들이 크고 작은 피해를 입을 수 있다.
8. 실제로 네이버BAND에서 얻은 비밀번호를 활용하여 원룸텔의 문이 열렸다.
1.4. KT의 입장
KT는 휴대전화 가입 업무나 장비 수리를 맡은 직원 일부가 정보를 공유하다 생긴 일이라며 답변했다. 2016년 9월 23일, 해당 SNS를 모두 폐쇄하고 정보도 삭제했다고 발표하였다. 정보가 공개된 개인들에게 특별한 사과는 없었다.
2. 2014년 사건(1200만명 정보유출)
#
[image]
2.1. 개요
2014년 3월 6일 대한민국 통신사인 KT 홈페이지가 해킹당해 가입고객 1천600만명 중 1천200만명의 개인정보가 유출된 사건이다. 1억 5천만건의 개인정보가 유출된 카드사 개인정보 유출사건가 발생한지 '''3달도 지나지 않아''' 또다른 대형 개인정보 유출사고가 발생하고 말았다. 저번 사건에 비해 규모가 1/10으로 작게 보일지도 모르나, '''이번엔 중복이 없다.''' 국민의 1/5 이상의 개인정보가 유출된 것이다.
2.2. 사건 경위
KT와 제휴를 맺고 있는 텔레마케팅 업체 대표 박모(37)씨가 영업을 위해 전문해커 김모(29)씨와 정모(38)씨와 공모하여 '파로스 프록시'(Parosproxy)라는 오픈소스 프로그램을 이용, 변조하여, 고객고유번호 9자리를 무작위로 수차례 입력하는 프로그램을 제작했다. KT 개인정보 전산망에 고객 고유번호 9자리만 입력하면 모든 개인정보를 열람할 수 있다는 점을 악용한 것이다. 한마디로 해킹이라고 하기도 뭐한 '''아주 고전적인 방법을 사용'''하여 무려 1200여만명의 개인정보를 유출시킨 것이다.
지금까지 유출된것으로 확인된 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 한마디로 또다시 대량으로 정보가 유출된 것.
이들은 이렇게 유출시킨 개인정보를 텔레마케팅에 활용하여 휴대전화 개통·판매 영업에 활용했다. 이들은 인천시 남구 주안동에 텔레마케팅 업체를 차려놓고 텔레마케터 80여 명을 고용, 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다고 현혹했다. 이들은 최근 1년간 이런 수법으로 1만1천여 대의 휴대전화를 판매, 115억원의 매출을 거둔 것으로 알려졌다. 또 확보한 개인정보 중 500만건의 정보는 '''다른 휴대전화 대리점 3곳에 팔아넘겼다.'''
2.3. 보안상 문제점
1. 정상적인 접근인지 검증하는 단계 따윈 없다.(아무 숫자나 넣으면 정보를 불러온다.)
2. 1년동안 최소 1266만건의 비 정상적인 접근이 있었지만 아무도 몰랐다. 정보를 무식하게 한건씩 뽑아오는데도 말이다. 심지어 특정 IP로 하루 최대 34만건 접속을 했으나 감지하지 못했다.관련기사 ( ) ( )
3. 사용자에게 보내지 않아도 될 중요 개인정보를 전부 보낸후 클라이언트에서 표시만 안되게 했다
4. '''브라우저에 내장된''' 웹 개발자 도구만 사용하면 모든 정보를 볼수 있다.
5. kt가 유출한 정보는 요금 정보, 부가 서비스, 미납 요금, 휴대폰 구입일, 할부 약정 종료일, 한달 할부 납부 금액, 휴대폰 기종, 남은 할부금, 고객번호, 이름, 사용기간, 주민등록번호, 자동이체 은행코드, 카드사 정보, 카드 유효기간, 집주소, 가입한 요금제, 이메일 주소, 우편번호, 휴대폰 고유 일련번호, 번호이동한 통신사와 해당 날짜, 유심카드 일련번호, 아이디 등이다. '''이러한 정보들이 이용대금 명세서 조회시 필요한가?'''
문제점 지적 유출된 정보 상세 분석
2.4. KT 공식 사과문
KT는 결국 2012년에 이어서 2014년에도 또다시 정보유출 사건을 사죄하는 사과문을 작성하게 되었다. 그런데 이번 사과문에도 '''세세한 후속 대책이나 보상관련 이야기는 한마디도 없이''' 그냥 죄송하다는 표현만 잔뜩 들어가 있다.
그리고 개인정보가 유출된 고객들을 대상으로 서면 사과문이 배달되었다. 하지만 여기에도 '''보상 이야기는 없다.'''
[image]
2.5. 이야기거리
[image]
- SK텔레콤은 공식 트위터에서 이 사건에 대해 자사의 최근 CF 문구로 실컷 디스를 하며 놀려댔으나, 이를 본 트위터리안들이 네이트닷컴이 대량으로 털렸던 SK컴즈 개인정보 유출 사건를 언급하며 넌씨눈 취급하며 극딜을 했고, 결국 몇시간 후 트윗은 삭제됐다. 다만 링크가 걸렸던 블로그 포스트는 남아있다.#
- 2014년 3월 11일 이동통신사·초고속인터넷업체, 11개 금융기관, 쇼핑몰 등서 유출한 정보를 토대로 맞춤형 개인정보 장사를 하던 업자가 검거되었다. 그런데 이들이 가지고 있던 개인정보 중 LG유플러스 250만건, KT 7만6천여건, SK브로드밴드에서 150만여건 등 총 423만건이 이동통신사에서 유출된 것으로 확인됨에 따라, 메이저 이동통신사 3사가 모두 연루되었다. 전반으로 수사가 확대될 가능성이 높아졌다.
- 고객센터가 이 일에 연루되어 있기 때문에 뭇 유저들은 게임도 아닌데 명검을 하사받았다. 그런데 여기에는 모바일 사용량 조회가 포함되어 있어 고객들이 암흑 속에서 사용량을 조절해야 하는 막장 상황이 펼쳐지게 되었다. 그나마 핸드폰쪽의 경우는 문자 고객센터가 있어 문자만 보내면 사용량이 오기는 하는데, olleh 와이브로의 경우 그냥 망했다.
- 법원이 KT가 해당사건에 대한 과징금을 낼 필요가 없다고 판결했다(...).해당기사
3. 2012년 사건(800여만명 유출)
KT 영업시스템이 해킹당해 휴대전화 가입자 870만명의 개인정보가 유출됐다.
하지만 그 전부터 해킹당했던 것이 지금 밝혀진 것으로 2월부터 빼내어 텔레마케팅에 활용되었다고 한다.
유출된 개인정보는 이름과 주민등록번호, 휴대전화번호와 사용 요금제, 기기변경일 등이다.
올레 홈페이지에서 조회할 수 있는데 조회해서 정보유출에 해당되는 사람이라면 '''"정보가 유출되었으나 전량 회수되었다."'''는 말을 볼 수 있다. 카드사에서 개인정보 유출이 되었을때도 회수라는 멍청한 소리는 안했다.
아래는 '''정말 말뿐이였던''' 사과문.
2014년 8월 1심 판결 결과 KT가 1인당 10만원씩 배상하라고 판결이 나왔다. 이 판결 자체가 매우 이례적인데 우리나라는 전통적(?)으로 개인정보 유출에 매우 관대했고 KT쪽의 변호팀이 김앤장임에도 이러한 결과가 나왔다. KT는 항소하겠다며 명언을 남겼다. KT는 “법원이 개인정보 유출과 관련해 KT의 책임을 인정한 것은 유감”이라며 (후략) 관련기사 인용
그리고 2018년 12월 대법원이 KT의 개인정보 유출에 대한 손해배상 책임이 없다고 판결을 내렸다. 기사