국내 3대 통신사중 하나인 KT에서 870만건의 고객정보가 유출돼 또 한번 개인정보보호 문제가 여론의 도마에 올랐다. 왜 이런 사건들이 끊이지 않고 계속 발생하는 것일까. 이와 관련해 여러 보안 전문가의 의견을 들어봤다. 대부분 취재원이 익명을 요구해 익명으로 처리했다.  
 
◇내·외부 IT감사로 크로스체크 필요해=모 통신사 관계자는 “이번 사건도 KT 전산시스템 관리의 미세한 홀을 정확히 파악하고 범죄에 이용한 것이다. 각 대리점에서 가입자 조회를 해서 다양한 업무를 할 수밖에 없는 특성상 철저한 IT감사가 이루어졌어야 한다”며 “대리점에서 어떻게 고객정보를 취급하고 접근하는지에 대한 KT 내부에서 감사도 중요하고 외부 IT감사를 통해 크로스체크가 이루어졌어야 한다. 그랬다면 5개월간 870만명이라는 대량의 정보가 유출되지는 않았을 것”이라고 말했다.
 
이 부분에 대해 KT 관계자는 “대리점에서 정상적인 방법으로 조회를 했다면 당연히 모니터링 시스템에서 이상유무를 탐지했을 것이다. 하지만 이번 건은 비정상적인 프로세스로 조회를 했기 때문에 몰랐다”며 “하루 KT에서 발생하는 트랜젝션은 대략 8,500만건에 달한다. 그 가운데 비정상적인 트래픽을 탐지해서 걸러내는 일은 쉽지 않은 일이다. 외부 감사였더라도 비정상을 탐지하기는 어려웠을 것”이라고 해명했다.
 
◇망법 대응만 신경쓰고 실제 위협포인트는 간과해=이에 모 보안전문가는 “이번 사건은 일반 판매점의 문제가 아니라 KT 직영 대리점에서 문제가 발생한 것이다. 870만건이 5개월간 유출됐다면 초당 몇건씩 조회돼야 가능한 수치”라며 “평소 대리점에서 하루에 가입자 수가 아무리 많아도 초당 몇건씩 조회가 이루어졌다면 당연히 의심을 했어야 한다. KT가 모니터링 시스템을 가동했다고 하지만 이해할 수 없는 부분”이라고 지적했다.
 
즉 모니터링 시스템이 당연히 있었겠지만 이에 대한 정확한 분석이 이루어지지 않아서 장기간 정보유출이 이루어질 수 있도록 빌미를 제공했다는 지적이다.
 
모 기업 보안담당자는 “망법에서 요구하는 기술적 관리적 조치 기준만 신경을 쓰고 실제로 각 기업마다 특수한 보안위협이 집중되는 부분이 있을 텐데 이에 대한 자발적 대응이 안되고 있다”며 “KT와 같이 이동통신사는 내부 보다는 외부에서 내부 DB시스템에 접근할 수 있는 대리점이나 판매점 관리자 문제가 가장 큰 보안리스크 포인트로 인식됐을 텐데도 이에 대한 충분한 대비가 부족했던 것”이라고 평했다.
 
◇기업 특성에 맞는 가능한 공격 시나리오 예측 부족=또 다른 전문가는 “이번 공격도 KT의 약점을 정확히 알고 공격한 것이다. 일반적으로 이루어지는 악성코드에 의한 APT가 아닌 시스템의 홀을 악용한 APT공격이라고 볼 수 있다”며 “결국 알려지지 않은 공격에 대한 대비를 하지 않은 것이다. 이번 사건과 같은 식의 공격도 가능할 수 있다는 시나리오를 생각하지 못했기 때문에 대응도 할 수 없었던 것이다. 알고도 못했다면 큰 문제겠지만. 아무튼 기존에 알려진 공격패턴에 대한 투자보다는 이제는 알려지지 않은 공격에 대해 미리 예측하고 기존 장비보다는 모니터링 시스템과 다양한 공격루트를 분석할 수 있는 인력에 대한 투자가 과감하게 이루어져야 한다”고 강조했다.
 
모 대학 정보보호학과 교수는 “KT가 어떻게 사용자 인증을 하고 있는지 모르겠지만 대리점에서 고객정보 조회 권한자가 열가지나 되는 고객정보를 모두 조회할 필요가 있었는지 의문”이라며 “대리점이라도 업무성격에 따라 정보조회 범위를 차별적으로 제한했어야 한다. 이런 것을 볼 때 여전히 위협수준에 비해 기업의 대응은 상대적으로 수준이 낮은 것이다. 다양한 공격 가능성을 예측하는 능력이 부족한 것으로 보인다”고 지적했다.
 
또 그는 “앞으로 중요한 것은 해킹공격 자체를 차단할 수는 없을 것이다. 하지만 해킹공격을 당했다고 하더라도 얼마나 빨리 인지하고 대응하느냐가 중요하다”며 “이번 KT건처럼 큰 피해가 발생하고 나서 대응해 봐야 소용이 없다. 얼마나 빨리 공격상황을 검출하고 대응해 피해를 최소화하는 방안을 마련하는 것이 기업들에게 필요할 것”이라고 강조했다.
 
◇망법, 감시체계 기준 강화와 기업 특성에 맞게 차등 적용 필요=한편 또 다른 관계자는 “망법의 기술적 관리적 조치 기준이 강화되어야 한다. 현재는 포지티브 방식이다. 이것만 준수하면 처벌받지 않는 상황이다. 때문에 기술적 관리적 조치 기준을 상향해야 하고 특히 공격이 이루어진 것을 신속히 탐지할 수 있는 상시감시체계에 대한 조치가 강화되어야 한다”며 “그리고 기업규모나 비즈니스 특성에 따라 차등적인 기술적 관리적 조치 수준이 달리 적용되어야 한다. KT가 다른 통신사에 비해 보안수준이 낮다고 볼 수 없을 것이다. 비슷한 수준일 것이다. 다른 통신사도 얼마든지 비슷한 공격으로 당할 수 있다. 현재 당했으면서도 모를 수도 있다. 즉 중요한 것은 통신사와 같은 기업들에 대한 기술적 관리적 보호조치 기준이 지금보다 더욱 강화되어야 하고 특히 감시체계 부분은 더욱 강화된 법 적용이 필요하다”고 지적했다.

◇사고원인에 대한 입체적 정보공유 필요=또 한편 심상현 한국침해사고대응팀협의회 국장은 “계속 반복해서 대형 정보유출 사고가 터지는 이유중 하나는 바로 사고가 났다는 사실이 아니라 사고가 왜 났고 어떻게 났는지에 대한 정보공유가 반드시 필요하다”며 “사고가 난 원인에 대해 기업들간의 적극적인 공유노력이 있어야만 유사한 피해는 미리 막을 수 있을 것이다. KT와 유사한 건으로 다른 이동통신사가 당하지 말란 법은 없다. 대승적 차원에서 사고 원인과 공격 방법에 대해 입체적인 공유가 필요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com