LG텔레콤이 초보적인 수준의 해킹에 무기력하게 당한 것으로 드러났다. 이에 따라 이동통신사의 허술한 보안시스템이 다시 한번 도마에 올랐다.
서울지방경찰청 사이버범죄수사대는 22일 LG텔레콤 서버에 접속해 고객 정보를 빼돌린 혐의로 유명 포털업체 직원 강 모(29)씨를 검거했다. 강씨는 고객정보 위탁업체가 접속하는 계정을 알아낸 뒤, 직접 구축한 서버로 고객정보를 빼돌린 혐의를 받고 있다.
피의자 강씨는 지방 모대학이 연구 목적으로 구축한 홈페이지의 '폰정보조회' 팝업 창의 소스를 이용해 LG텔레콤 서버에 접속할 수 있는 계정과 소스코드를 알아냈다.
이후 LG텔레콤 계정을 이용해 휴대전화번호를 입력하면 실시간으로 고객 인적사항을 조회할 수 있는 웹 페이지를 개설해 개인정보를 빼돌린 것으로 알려졌다.
◆CP-고객망 연동 보안 미흡
이번 사건은 이통사 서버에 접속해 고객정보를 실시간으로 빼냈다는 점에서 큰 충격을 안겨주고 있다. 특히 그 과정에서 LG텔레콤 측은 초보적인 수준의 보안 조치조차 제대로 취하지 않은 것으로 드러났다.
수사를 담당했던 서울지방경찰청이 초보적인 수준의 웹 프로그래머라면 누구나 LG텔레콤의 보안 취약점을 쉽게 알아낼 수 있을 정도라고 밝힐 정도.
심지어 피의자조차 "이통사측의 보안이 허술해 이미 개인정보가 공개된 것이나 마찬가지"라며 자신의 협의를 극구 부인한 것으로 알려졌다.
서울지방경찰청에 따르면 LG텔레콤의 콘텐츠제공업체(CP) 계정을 갖고 있으면 누구나 고객망에 연동할 수 있는 상태가 5년간 방치돼 있었다.
접속 IP를 제한하는 등의 초보적인 보안 조치도 취하지 않았던 것. 게다가 계정과 연동된 고객자료를 단순 평문으로 송신했던 것으로 알려졌다.
서울지방경찰청 사이버범죄수사대 김태현 경위는 "대부분의 고객 정보유출사건이 데이터베이스(DB)로부터 빼낸 자료였지만, 이통사의 서버와 연동해 실시간으로 고객정보를 유출한 사건은 최초"라며 "이번 사건을 계기로 수많은 고객 정보를 보유한 이통사의 보안시스템에 대한 전면적인 검토가 이뤄져야 한다"고 말했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기