LG텔레콤 정보노출 사건...진상을 말하다

언론들, 법원판결 나기전 ‘범인’용어사용...인권침해 수준

양측의 보안의식 부족이 불러온 사건...법원 판결 어찌될까

지난 22일 LG텔레콤 가입고객 정보 노출 사건에 대한 경찰 조사 발표가 있었다. 하지만 경찰 수사 발표내용에도 뭔가 석연치 않은 부분이 있었고 이 사건을 보도한 언론들의 보도행태에도 문제가 있다는 지적이 나오고 있다.

보안 전문가들은 “이번 사건의 핵심은 LG텔레콤측이 CP업체인 엠샵에 고객정보를 그대로 노출되도록 연결시켜 놓은 부분과 서버 접근 관리자 계정을 누구나 볼 수 있는 URL상에 올려놓았다는 점에 대해 무한책임을 져야 한다”며 “물론 강씨가 이 취약점을 알았으면 LG텔레콤측에 알리고 KISA나 경찰청에 빨리 신고를 했어야 한다”고도 덧붙였다.

이 사건을 담당한 서울지방경찰청 사이버수사대 김태현 경위도 “LG텔레콤이 정보관리를 소홀히 했기 때문에 이 부분에 대해 방송통신위원회에 행정처분을 의뢰했다”며 “하지만 강씨도 해당 취약점을 알았다면 LG텔레콤에 즉각 연락하고 관계기관에 신고하는 자세가 필요했다”고 밝혔다.

또한 경찰은 강씨의 행위에 대해 “강씨는 LG텔레콤 가입자 정보에 접근권한이 없는데도 불구하고 불법으로 접근해 정보를 유출한 것”이라며 “이것을 해킹이다 아니다라고 말하긴 뭐하다. 경찰들은 해킹이란 말은 잘 안쓴다. 다만 법적으로 불법행위가 확실하기 때문에 기소했다”고 말했다.

하지만 석연치 않은 부분들이 많다. 물론 검찰조사에서 더 자세하게 밝혀지겠지만 몇가지 짚고 넘어가야할 부분들이 있다.

◇LG텔레콤 서버계정과 고객정보, URL에 5년간 노출=경찰은 발표에서 강씨가 LG텔레콤 서버에 접속할 수 있는 계정을 알아냈다고 발표했다.

사이버수사대 김태현 경위는 “서버에 접속할 수 있는 계정을 알아낸 것이 맞다”고 말했지만, 강씨는 “서버 아이디를 알아냈다는 것은 말도 안된다. 엠샵 사이트에 휴대폰 번호를 입력하고 '속성'에 나타난 주소에 URL과 함께 서버 접근계정과 주민번호 13자리 등 개인정보가 그대로 노출되고 있었던 것”이라며 “URL속에 서버 계정이 포함돼 있었다는 것도 경찰조사 과정에서 경찰측이 말해서 알게 됐다”고 반박했다.

즉 엠샵 사이트에서는 전문 프로그래머가 코딩작업을 하지 않더라도 휴대폰 번호만 입력하면 주소창 URL 뒷부분에 LG텔레콤의 가입고객 정보가 그대로 노출되고 있었던 것을 알 수 있었다. 다시말해 LG텔레콤은 엠샵이라는 사이트에서 자신들의 가입자 정보인 주민등록번호와 서버 접근계정이 URL상에 노출되고 있었던 것을 5년간 몰랐다는 것이다.

또 하나 경찰은 “엠샵이 단순히 모대학교가 연구목적으로 이용하도록 구축한 홈페이지”라고 밝혔지만, 분명 엠샵은 휴대폰 정보와 관련돼 결제가 이루어지던 영리목적 사이트였다. 이 부분은 경찰조사가 미흡했던 점으로 파악된다.

한편 일부에서는 “경찰이 이번 사건을 LG텔레콤의 고객정보노출과 계정노출 등 허술한 보안문제에 초점을 맞추기 보다는 한 개인이 저지른 행동에 너무 과잉 반응을 보인 것 아니냐”는 지적도 나오고 있다.

강씨는 “엠샵에서 그러한 정보들이 노출돼 있지 않았다면 사이트에 링크를 거는 것도 없었을 것”이라며 “공개된 것이 어떻게 비밀이 될 수 있는지 모르겠다”고 말했다.

이에 경찰은 공개된 정보지만 그 정보는 개인정보 등 비밀정보였기 때문에 접근하면 안된다는 논리로 말했다고 한다. 접근이 가능했던 비밀이란 무엇일까. 비밀이었다면 왜 접근이 가능했을까.

◇강씨를 '범인' 등으로 묘사...언론보도 문제=경찰수사 발표를 보도한 언론사들은 강씨에 대해 ‘범인’이라는 말을 서슴치 않고 사용하고 있는 것도 문제로 지적되고 있다. ‘범인’이란 단어는 법원판결이 난후 사용해야 할 단어들이다. 또 일부 언론에서는 “강씨가 LG텔레콤이 고객정보보호에 취약하다는 것을 언론에 알리고 이를 이용해 LG텔레콤으로부터 금품을 요구하려고 계획한 것으로 밝혀졌다”고 잘못된 보도를 하고 있어 논란이 예상된다.

이 부분은 경찰 책임이 크다고 볼 수 있다. 강씨는 “개발일을 10년 가까이 하다보니 연봉이 꽤 된다. 돈을 벌려고 했으면 개발업무로 아르바이트만해도 훨씬 괜찮은 수입을 벌 수 있다”며 “내가 돈을 벌기위해 이렇게 했다고 몰고 가는 것에 할 말을 잃었다. 메신저 상에서 친구와 장난으로 한 말을 경찰이 저렇게 언론에 말하고 언론들이 이를 완전 외곡해서 보도하는 것은 정말 이해할 수 없다”라고 말했다.

사실 언론들이 더 문제다. 법원판결이 아직 나지 않은 피의자 신분의 강씨를 마치 확정된 범인으로 몰아가고 있는 것이다. 또 근본적인 원인을 제공한 LG텔레콤의 보안결함에 초점을 맞추기보다 포털에서 일하는 개발자가 이러한 일을 계획적으로 돈을 벌기위해 했다는 식으로 수사와 보도를 하고 있는 것은 분명 문제다.

강씨는 “LG텔레콤의 서버계정을 탈취하고 이를 이용해 정보를 유출해서 돈을 벌기 위해 자신의 서버를 구축하고 홈페이지를 만들어 이를 상업적으로 이용하려 했다는 것은 거의 소설수준”이라고 반박했다.

강씨는 해당 홈페이지를 지난 1998년부터 운영해오고 있었다고 한다. 즉 이번 사건을 위해 서버를 구축하고 홈페이지를 구축한 것이 아니라는 점이다.

경찰이 다행스럽게도 이 사건에 대해 LG텔레콤의 잘못을 덮어두지 않았다는 점에서는 고무적인 일이다. 하지만 그럴 의도가 아니었던 한 개인을 마치 정보유출로 돈을 벌려고 했던 파렴치범으로 몰고 가는 것에 대해서는 깊이 생각해봐야 한다. 또 아직 법원 판결이 나지 않은 개인을 범인으로 묘사하는 것은 언론이 자성해야할 부분이다.

◇양측의 보안의식 부족이 불러온 사건=이번 사건은 강씨가 우연히 발견한 엠샵에서 LG텔레콤의 고객정보가 그대로 노출되고 있었고 이를 자신의 홈페이지에 링크시켜 다른 사람들도 볼 수 있도록 한 것이 발단이 됐다. 좀 더 생각해보면 LG텔레콤과 강씨 양쪽의 보안의식 부족이 불러온 사건이란 것을 알 수 있다.

엠샵에서 노출되던 LG텔레콤의 고객정보에는 주민등록번호가 뒷자리까지 모두 공개됐으며 LG텔레콤 고객전체였다. 반면 강씨가 자신의 홈페이지에 링크시킨 주민등록번호는 뒷자리를 별표처리해 공개했다고 한다.

하지만 강씨 또한 보안의식이 부족했다는 지적도 많다. LG텔레콤의 취약점을 알았다면 자신의 홈페이지에 링크할 것이 아니라 바로 해당 업체와 관계 기관에 신고했다면 이러한 일은 없었을 것이라는 점이다.

이제 검찰조사와 법원 판결이 남았다. 핵심은 LG텔레콤의 가입자 정보가 노출된 곳은 바로 엠샵이라는 곳이다. 강씨 홈페이지를 통해서 고객정보가 유출된 것이 아니라 원래부터 엠샵에서 정보가 노출돼 있었다는 점이다. 과연 검찰조사와 법원판결이 어떻게 날지 귀추가 주목된다.

[길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)