2021-12-02 22:35 (목)
KT 개인정보유출 사건을 보는 또 다른 시선
상태바
KT 개인정보유출 사건을 보는 또 다른 시선
  • 길민권
  • 승인 2012.08.01 02:52
이 기사를 공유합니다

“예측가능한 사고였을까…다른 회사에서는 막을 수 있었을까?”
KT에서 880만건의 개인정보가 유출이 되었다고 합니다. 언론은 KT의 관리소홀을 지적하고 있고, 소비자도 KT에 대한 실망과 불안을 드러내고 있습니다. IT와 보안 식자층들의 반응도 다르지 않은 것 같습니다. ‘5개월이나 어떻게 모르고 있었을까’라는 표정으로 KT의 대오각성을 촉구하는 시선을 던지고 있습니다. 변호사님 중 일부는 천문학적인 집단소송을 준비하고 계실 것입니다.
 
정보보호와 개인정보보호관련 고민을 해왔던 사람 중 하나인 필자는 이번 사건을 바라보는 또 다른 시선을 제시하고자 합니다. 인류의 역사는 ‘창과 방패의 진화과정’으로 부를 수 있으며 이는 특히 보안에서 극명하게 드러납니다. 해킹기법이나 유출기법은 계속 발전하고 그에 대한 기술적 보호대책 또한 계속 진보하고 있지만, 태생적으로 보안기법은 해킹기법보다 한발씩 늦을 수 밖에 없습니다.
 
따라서 개인정보유출 및 보안관련 크고 작은 사고는 계속 발생할 수밖에 없습니다. 강도사건을 사전에 막지 못했다고 경찰을 일방적으로 매도하지는 않습니다. 사안에 따라서 경찰이 비난 받아야 할 사건이 있고 오히려 동정의 시선을 받아야 할 사건도 있습니다. 사고가 났다고 해서 무조건 비난할 수는 없습니다. 비난을 하더라도 해킹기법을 살펴보고 관리소홀 및 과실여부를 따져본 후 합리적으로 비난해야 합니다.
 
우선 KT는 과연 선한 관리자의 의무를 다하고 있었는지 KT의 과실책임을 살펴보겠습니다. 선한 관리자인지 아닌지 판단하는 기준은 첫째, 법에서 정한 보호조치를 수행하고 있었느냐, 둘째 동종업계 평균 이상의 보호조치를 하고 있었느냐입니다.
 
KT가 정보통신망법과 개인정보보호법의 기술적 보호조치 규정을 준수하였는지는 경찰에서 판단할 사안이므로 생략하겠습니다.
 
동종업계 평균 이상의 보호조치를 취하고 있는지에 대해서 필자는 과연 KT가 동종업계 평균 이하로 고객의 개인정보를 취급했을까라고 의문을 던집니다.
 
즉 이번 유출은 사전에 막을 수 있었던 즉 다시 말해서 예측가능한 사고였을까? 다른 회사에서는 막을 수 있었을까라고 질문하는 것입니다.
 
경찰청의 발표를 종합해 볼 때, 이번 사건에 사용된 유출기법은 매우 지능적이며 높은 난이도를 자랑합니다. 범인은 전혀 새롭고 가장 악랄한 시나리오를 들고 온 것입니다.
 
첫째, 정당한 어플리케이션을 위장해서 들어오는 고도로 지능적인 방법을 취했습니다.
업무를 위해서 개인정보를 요청할 권리가 있는 합법적 어플리케이션의 동작을 그대로 흉내 냈기 때문에 DB접근통제와 DB암호화로 막을 수 없었습니다. 당연히 망분리라는 수단도 대책이 되지 못합니다.
 
비권한자의 접근을 막는 보안, 비권한자가 암호화되지 않은 개인정보를 조회하는 것을 막는 보안, 외부에서 비권한자가 침투하는 것을 원천적으로 네트워크에서 단절하는 보안은 이번 유출사고에서는 큰 역할을 수행할 수가 없었습니다.
 
이러한 지능적 우회기법을 쓰기 위해서는 KT 개인정보조회 영업시스템을 기술적으로 잘 알아야 합니다. 한국 통신사들의 세부적인 시스템을 모르는 중국해커는 할 수 없는 범죄방식입니다.
 
둘째, 개인정보를 1, 2건 단위로 소량씩 가져갔습니다.
수백건, 수천건씩 조회했다면 바로 보안시스템에 걸렸을 텐데 한 두건씩 가져가서 보안시스템의 예봉을 피한 것입니다. 2008년 이전에는 한번에 개인정보 수십만 건을 가져가도 통제가 되지 않았지만 이후에는 대량의 개인정보를 한꺼번에 조회하면 바로 경보가 울리게 됩니다.
 
보안전문가 입장에서 볼 때, 한 두건씩 조회하면 실시간으로 통제는 불가능하며 장기간 누적된 개인정보유출패턴을 분석해야만 경보가 가능하게 됩니다. 수천 곳에 달하는 KT영업점 중에서 특정영업점이 장기간 소량으로 꾸준하게 대량의 개인정보를 조회한 것을 가지고 갔는지 식별할 수 있어야 하는 것입니다.
 
현재 이러한 장기간 누적된 이상징후의 진단시스템을 분석, 운영하는 곳은 국내에서 선도적 몇 곳을 제외하고는 거의 없는 실정입니다.  
 
KT에게 면죄부를 주고자 이 글을 쓰고 있지 않습니다. 다만 지금처럼 무조건 잘못했고 무조건 석고대죄하라는 분위기는 오히려 개인정보보호에 해가 되는 일이라고 생각합니다.  
 
모든 유출사고를 보안상 잘못한 탓으로 몰고 간다면 이는 생색나지 않는 일을 적은 예산으로 묵묵하게 수행하는 보안분야 종사자를 너무나 힘 빠지게 하는 일입니다.
 
이번 사건은 지금까지 없었고 지능적이고 악랄한 공격으로 개인정보보호전문가인 필자로서도 허를 찔리는 듯 당혹감을 감추지 못하고 있습니다.
 
해킹과 보안이 창과 방패의 관계이므로 이번 사건이 국내 개인정보보호의 기술수준을 한 단계 끌어올릴 것이라는 것에 위안을 삼고 있습니다. 비 온 뒤 땅이 굳는다고 합니다. 유출사고가 발생할 때만 관심을 갖고 그 후에는 무관심해지는 구태를 답습하지 말아야 합니다.
 
KT가 이번 기회로 개인정보보호 및 정보보호에 지속적으로 투자해 국내 최고수준의 개인정보와 보안 인프라를 갖춘 기업으로 도약할 것으로 기대합니다.
 
※본 글은 경찰청 사이버수사대에서 KT유출사고에 활용되었다고 발표한 해킹기법이 실체적 진실과 부합한다는 것을 전제로 작성하였습니다. [필자주]
 
[글. 김대환 소만사 대표이사 kdh@somansa.com]
Tag
#KT