국내 최대 통신사인 KT 휴대전화 고객정보 800여만명의 정보가 유출된 것이 경찰조사 결과 밝혀졌다. 이번 사건은 10년 경력의 전문 프로그래머에 의한 해킹 범죄로 자동화된 해킹프로그램으로 수개월간 지속적으로 개인정보를 유출해 간 사건이다.
 
경찰청 사이버테러대응센터 관계자는 “지난 7월 14일부터 7월 20일 서울시 금천구 가산동 ○○타워 등 9개소에서 피의자 총 9명을 검거했다”며 “피의자 최모씨와 황모씨는 TM사업을 운영하는 자로서 휴대폰 텔레마케팅 사업 등에 활용할 목적으로 KT고객정보 조회시스템(이하 KT 영업시스템)에 접근해 고객정보를 해킹한 것”이라고 밝혔다.  
 
이들은 지난 2월경에 고객정보를 자동 조회할 수 있는 해킹프로그램을 제작해 2월 20일부터 7월 15일까지 약 5개월간 KT 영업시스템에 접속해 약 800만명의 휴대전화 고객들의 개인정보를 무단 조회ㆍ유출하고 이를 자신이 운영하는 TM사업에 활용하거나 타 TM업체에 제공하는 한편, 해킹프로그램을 우모씨와 우모씨(2) 이모씨 등에게 제공ㆍ판매하는 방법으로 약 10억원 상당의 부당이득을 취한 것으로 드러났다.
 
피의자들은 월 사용료 200∼300만원의 비용을 지불해 구입하는 등의 방법으로 입수한 해킹프로그램으로 지난 4월 12일부터 7월 15일까지 KT 영업시스템에 접속해 약 200만명의 휴대전화 고객들의 개인정보를 무단 조회ㆍ유출하고 이를 자신들이 운영하는 TM 사업에 활용했다.    
 
또 피의자 임모씨와 최모씨는 6월 말경 피의자 우모씨로부터 해킹프로그램을 몰래 복제한 후, 피의자 김모씨에게 개인정보를 조회ㆍ유출할 수 있도록 전달ㆍ유포하는 한편 피의자 이모씨(여)는 7월 4일부터 7월 13일까지 피의자 이모씨가 해킹프로그램으로 조회ㆍ유출한 9만명의 KT 휴대전화 고객들의 개인정보를 제공받아 자신의 TM사업에 사용한 것이다.
 
이번 해킹 프로그램으로 유출된 KT고객정보는 총 10종으로 ①휴대전화번호 ②가입일 ③고객번호 ④성명 ⑤주민등록번호(법인번호) ⑥모델명 ⑦요금제 ⑧기본요금 ⑨요금합계 ⑩기기변경일 등이다.
 
◇10년 경력 전문 프로그래머에 의한 해킹  
피의자 최모씨는 IT업체 등에서 약 10년 동안 프로그램 개발 등 유지ㆍ보수 경험이 있는 전문 프로그래머 경력자다.
 
그는 지난해 4월경부터 TM사업을 하던 중 KT고객만을 상대로 TM사업을 하면 타사에 비해 마진이 많이 남는다고 판단, 지난해 8월경 KT 고객정보를 유출하는 해킹프로그램을 제작할 것을 계획했다.
 
평소 의형제처럼 지내는 피의자 황모씨와 함께 7개월간의 연구 끝에 올해 2월경 해킹프로그램을 완성해 개인정보를 유출하기 시작한 것이다.
 
◇자동화된 해킹프로그램으로 수개월간 지속적으로 개인정보 유출
경찰은 통상 해킹에 의한 개인정보 유출 범죄는 단시간에 대규모 고객정보 DB를 유출하는 형태가 일반적인데 비해 이번 사건의 해킹프로그램은 KT 영업시스템으로부터 한건씩 순차적으로 조회ㆍ유출하도록 설계했다고 밝혔다.
 
단시간에 대규모 고객정보를 유출하지 않고 소량씩 장기적으로 유출했기 때문에 KT측이 해킹에 의한 개인정보 유출사실을 인지하기가 곤란했을 것이란 관측도 내놓고 있다.  
 
◇해킹프로그램에 악성코드를 삽입…구매자들이 유출한 개인정보까지 취득 
피의자들이 제작한 해킹프로그램을 다른 TM업체 구매자에게 판매하면서 아무나 복사해 사용할 수 없도록 네트워크 인증을 받도록 설계한 것이다.
 
구매자들이 해킹프로그램을 실행하여 KT 고객정보를 조회ㆍ유출할 경우, 고객정보가 네트워크를 통해 실시간으로 고스란히 자신의 서버로 전송되도록 악성코드를 삽입하는 수법을 사용했다.
 
경찰은 직접 해킹한 KT 고객정보와 구매자들이 해킹한 KT 고객정보를 전송받아 총괄 저장하고 있는 모든 DB서버를 압수해 회수 조치했다고 밝혔다.    
 
◇유출 고객정보 이용ㆍ제공 및 해킹프로그램 판매로 거액의 부당이득
경찰에 따르면, 피의자들은 유출 개인정보를 약 5개월간 자신의 TM업체에서 직접 활용해 3억원 가량의 수익을 창출하고 다른 10∼15개의 거래 TM업체에 제공해 위 TM업체에서 약 7억가량의 수익을 챙겼다고 진술했다.
 
즉 자신들이 제작한 해킹프로그램을 월 이용료 200∼300만원의 고가 판매로 1,300만원의 이득을 추가로 챙긴 것이다.  
 
◇일부 피의자, 해킹프로그램 잠금기능 해제, 개인정보 취득
한편 피의자 김모씨는 전 KT직원으로서 해킹프로그램을 분석해 네트워크 인증기능을 우회할 수 있도록 변조, 사용료를 내지 않고 KT 개인정보를 조회ㆍ유출해 TM업무에 활용한 것도 이번 수사에서 밝혀졌다.
 
경찰은 이번 사건의 적용법조에 대해 ▶KT 영업시스템에 무단 접속 행위는 정보통신망이용촉진및정보보호등에관한법률 제48조 제1항에 의거 3년이하 징역 또는 3천만원 이하 벌금.
 
▶KT 개인정보를 유출하는 해킹프로그램을 제작ㆍ유포하는 행위는 정보통신망이용촉진및정보보호등에관한법률 제48조 제2항에 의거 5년이하 징역 또는 5천만원 이하 벌금.
 
▶KT 고객정보를 조회ㆍ유출하거나 제3자에게 제공하는 행위는 정보통신망이용촉진및정보보호등에관한법률 제49조에 의거 5년이하 징역 또는 5천만원 이하 벌금.
 
▶유출된 KT 고객정보를 영리 또는 부정한 목적으로 제공받는 행위는 정보통신망이용촉진및정보보호등에관한법률 제28조의2에 의거 5년이하 징역 또는 5천만원 이하 벌금형에 처할 수 있다고 밝혔다.
 
경찰청 사이버테러대응센터는 “수사과정에서 확보한 해킹프로그램을 정밀 분석, 구체적인 동작과 기능 및 유출 수법을 KT측에 통보할 예정”이며 “동일한 피해가 재발하지 않도록 당부한다. 그리고 SKT와 LGU+ 등 타 이동통신사에도 고객정보 조회시스템 보안을 강화해 줄 것”을 권고했다.   
 
경찰은 향후, 이번 고객정보 유출사건과 관련해 정보통신망법상 KT의 기술적?관리적 보호조치 의무 위반여부도 수사할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com