Home > 전체기사
LG텔레콤 정보노출 사건...진상을 말하다
  |  입력 : 2008-04-23 08:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

언론들, 법원판결 나기전 ‘범인’용어사용...인권침해 수준

양측의 보안의식 부족이 불러온 사건...법원 판결 어찌될까


지난 22일 LG텔레콤 가입고객 정보 노출 사건에 대한 경찰 조사 발표가 있었다. 하지만 경찰 수사 발표내용에도 뭔가 석연치 않은 부분이 있었고 이 사건을 보도한 언론들의 보도행태에도 문제가 있다는 지적이 나오고 있다.


보안 전문가들은 “이번 사건의 핵심은 LG텔레콤측이 CP업체인 엠샵에 고객정보를 그대로 노출되도록 연결시켜 놓은 부분과 서버 접근 관리자 계정을 누구나 볼 수 있는 URL상에 올려놓았다는 점에 대해 무한책임을 져야 한다”며 “물론 강씨가 이 취약점을 알았으면 LG텔레콤측에 알리고 KISA나 경찰청에 빨리 신고를 했어야 한다”고도 덧붙였다.


이 사건을 담당한 서울지방경찰청 사이버수사대 김태현 경위도 “LG텔레콤이 정보관리를 소홀히 했기 때문에 이 부분에 대해 방송통신위원회에 행정처분을 의뢰했다”며 “하지만 강씨도 해당 취약점을 알았다면 LG텔레콤에 즉각 연락하고 관계기관에 신고하는 자세가 필요했다”고 밝혔다.


또한 경찰은 강씨의 행위에 대해 “강씨는 LG텔레콤 가입자 정보에 접근권한이 없는데도 불구하고 불법으로 접근해 정보를 유출한 것”이라며 “이것을 해킹이다 아니다라고 말하긴 뭐하다. 경찰들은 해킹이란 말은 잘 안쓴다. 다만 법적으로 불법행위가 확실하기 때문에 기소했다”고 말했다.


하지만 석연치 않은 부분들이 많다. 물론 검찰조사에서 더 자세하게 밝혀지겠지만 몇가지 짚고 넘어가야할 부분들이 있다. 


◇LG텔레콤 서버계정과 고객정보, URL에 5년간 노출=경찰은 발표에서 강씨가 LG텔레콤 서버에 접속할 수 있는 계정을 알아냈다고 발표했다.


사이버수사대 김태현 경위는 “서버에 접속할 수 있는 계정을 알아낸 것이 맞다”고 말했지만, 강씨는 “서버 아이디를 알아냈다는 것은 말도 안된다. 엠샵 사이트에 휴대폰 번호를 입력하고 '속성'에 나타난 주소에 URL과 함께 서버 접근계정과 주민번호 13자리 등 개인정보가 그대로 노출되고 있었던 것”이라며 “URL속에 서버 계정이 포함돼 있었다는 것도 경찰조사 과정에서 경찰측이 말해서 알게 됐다”고 반박했다.


즉 엠샵 사이트에서는 전문 프로그래머가 코딩작업을 하지 않더라도 휴대폰 번호만 입력하면 주소창 URL 뒷부분에 LG텔레콤의 가입고객 정보가 그대로 노출되고 있었던 것을 알 수 있었다. 다시말해 LG텔레콤은 엠샵이라는 사이트에서 자신들의 가입자 정보인 주민등록번호와 서버 접근계정이 URL상에 노출되고 있었던 것을 5년간 몰랐다는 것이다.


또 하나 경찰은 “엠샵이 단순히 모대학교가 연구목적으로 이용하도록 구축한 홈페이지”라고 밝혔지만, 분명 엠샵은 휴대폰 정보와 관련돼 결제가 이루어지던 영리목적 사이트였다. 이 부분은 경찰조사가 미흡했던 점으로 파악된다. 


한편 일부에서는 “경찰이 이번 사건을 LG텔레콤의 고객정보노출과 계정노출 등 허술한 보안문제에 초점을 맞추기 보다는 한 개인이 저지른 행동에 너무 과잉 반응을 보인 것 아니냐”는 지적도 나오고 있다.  


강씨는 “엠샵에서 그러한 정보들이 노출돼 있지 않았다면 사이트에 링크를 거는 것도 없었을 것”이라며 “공개된 것이 어떻게 비밀이 될 수 있는지 모르겠다”고 말했다.


이에 경찰은 공개된 정보지만 그 정보는 개인정보 등 비밀정보였기 때문에 접근하면 안된다는 논리로 말했다고 한다. 접근이 가능했던 비밀이란 무엇일까. 비밀이었다면 왜 접근이 가능했을까. 


◇강씨를 '범인' 등으로 묘사...언론보도 문제=경찰수사 발표를 보도한 언론사들은 강씨에 대해 ‘범인’이라는 말을 서슴치 않고 사용하고 있는 것도 문제로 지적되고 있다. ‘범인’이란 단어는 법원판결이 난후 사용해야 할 단어들이다. 또 일부 언론에서는 “강씨가 LG텔레콤이 고객정보보호에 취약하다는 것을 언론에 알리고 이를 이용해 LG텔레콤으로부터 금품을 요구하려고 계획한 것으로 밝혀졌다”고 잘못된 보도를 하고 있어 논란이 예상된다. 


이 부분은 경찰 책임이 크다고 볼 수 있다. 강씨는 “개발일을 10년 가까이 하다보니 연봉이 꽤 된다. 돈을 벌려고 했으면 개발업무로 아르바이트만해도 훨씬 괜찮은 수입을 벌 수 있다”며 “내가 돈을 벌기위해 이렇게 했다고 몰고 가는 것에 할 말을 잃었다. 메신저 상에서 친구와 장난으로 한 말을 경찰이 저렇게 언론에 말하고 언론들이 이를 완전 외곡해서 보도하는 것은 정말 이해할 수 없다”라고 말했다.


사실 언론들이 더 문제다. 법원판결이 아직 나지 않은 피의자 신분의 강씨를 마치 확정된 범인으로 몰아가고 있는 것이다. 또 근본적인 원인을 제공한 LG텔레콤의 보안결함에 초점을 맞추기보다 포털에서 일하는 개발자가 이러한 일을 계획적으로 돈을 벌기위해 했다는 식으로 수사와 보도를 하고 있는 것은 분명 문제다. 


강씨는 “LG텔레콤의 서버계정을 탈취하고 이를 이용해 정보를 유출해서 돈을 벌기 위해 자신의 서버를 구축하고 홈페이지를 만들어 이를 상업적으로 이용하려 했다는 것은 거의 소설수준”이라고 반박했다.


강씨는 해당 홈페이지를 지난 1998년부터 운영해오고 있었다고 한다. 즉 이번 사건을 위해 서버를 구축하고 홈페이지를 구축한 것이 아니라는 점이다.


경찰이 다행스럽게도 이 사건에 대해 LG텔레콤의 잘못을 덮어두지 않았다는 점에서는 고무적인 일이다. 하지만 그럴 의도가 아니었던 한 개인을 마치 정보유출로 돈을 벌려고 했던 파렴치범으로 몰고 가는 것에 대해서는 깊이 생각해봐야 한다. 또 아직 법원 판결이 나지 않은 개인을 범인으로 묘사하는 것은 언론이 자성해야할 부분이다.


◇양측의 보안의식 부족이 불러온 사건=이번 사건은 강씨가 우연히 발견한 엠샵에서 LG텔레콤의 고객정보가 그대로 노출되고 있었고 이를 자신의 홈페이지에 링크시켜 다른 사람들도 볼 수 있도록 한 것이 발단이 됐다. 좀 더 생각해보면 LG텔레콤과 강씨 양쪽의 보안의식 부족이 불러온 사건이란 것을 알 수 있다. 


엠샵에서 노출되던 LG텔레콤의 고객정보에는 주민등록번호가 뒷자리까지 모두 공개됐으며 LG텔레콤 고객전체였다. 반면 강씨가 자신의 홈페이지에 링크시킨 주민등록번호는 뒷자리를 별표처리해 공개했다고 한다. 


하지만 강씨 또한 보안의식이 부족했다는 지적도 많다. LG텔레콤의 취약점을 알았다면 자신의 홈페이지에 링크할 것이 아니라 바로 해당 업체와 관계 기관에 신고했다면 이러한 일은 없었을 것이라는 점이다. 


이제 검찰조사와 법원 판결이 남았다. 핵심은 LG텔레콤의 가입자 정보가 노출된 곳은 바로 엠샵이라는 곳이다. 강씨 홈페이지를 통해서 고객정보가 유출된 것이 아니라 원래부터 엠샵에서 정보가 노출돼 있었다는 점이다. 과연 검찰조사와 법원판결이 어떻게 날지 귀추가 주목된다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
   2008-04-28 오전 8:30:10
POST방식도 소용없죠. 로컬에다 폼파일 만들어서 전송하면 되는데...이걸 막으려면 Referer page를 체크하면 되는데..이거 역시 curl 사용하면 뚫을 수 있죠...
나그네   2008-04-27 오후 3:56:04
POST형식이면 작성하다 보니까 POST는 그런경우가 적던데.. GET방식인가 보네...
terrannara   2008-04-25 오후 9:12:18
URL 에다가 ID, PASSWORD 가 붙는건 대체 무슨짓이냐... 암호화는 커녕 세션이나 쿠키만 사용했어도 절대 없었을일을.. 그것도 상업적 용도의 싸이트가 그정도 밖에 안된게 제일 큰 문제 아닌가. 가치가 있는 물건을 보관하는 자물쇠로 잠긴 창고가 있는데 어떤사람이 사실 자물쇠는 없었다 라는 것을 알아낸것 밖에 더있나. 일부러 자물쇠를 따고 들어간것도 아니고 문이 이미 열려서 안에 있는게 다 보이는데. 문이 열려있더라는걸 알아낸것과, 다른사람에게 거기 문은 열려있더라 라고 말한게 잘못이라고 말할수 있는건가? 그렇다면 인터넷 없애 버려야지. 네버 닷컴 치면 네버 싸이트 들어가 지고 오른쪽 클릭해서 소스보기하면 소스나오는 거랑 같은거랑 말이지. 그런 소스에 중요정보를 처리없이 보이도록 작성한 싸이트가 잘못이다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향