세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
LG텔레콤 정보노출 사건...진상을 말하다
  |  입력 : 2008-04-23 08:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

언론들, 법원판결 나기전 ‘범인’용어사용...인권침해 수준

양측의 보안의식 부족이 불러온 사건...법원 판결 어찌될까


지난 22일 LG텔레콤 가입고객 정보 노출 사건에 대한 경찰 조사 발표가 있었다. 하지만 경찰 수사 발표내용에도 뭔가 석연치 않은 부분이 있었고 이 사건을 보도한 언론들의 보도행태에도 문제가 있다는 지적이 나오고 있다.


보안 전문가들은 “이번 사건의 핵심은 LG텔레콤측이 CP업체인 엠샵에 고객정보를 그대로 노출되도록 연결시켜 놓은 부분과 서버 접근 관리자 계정을 누구나 볼 수 있는 URL상에 올려놓았다는 점에 대해 무한책임을 져야 한다”며 “물론 강씨가 이 취약점을 알았으면 LG텔레콤측에 알리고 KISA나 경찰청에 빨리 신고를 했어야 한다”고도 덧붙였다.


이 사건을 담당한 서울지방경찰청 사이버수사대 김태현 경위도 “LG텔레콤이 정보관리를 소홀히 했기 때문에 이 부분에 대해 방송통신위원회에 행정처분을 의뢰했다”며 “하지만 강씨도 해당 취약점을 알았다면 LG텔레콤에 즉각 연락하고 관계기관에 신고하는 자세가 필요했다”고 밝혔다.


또한 경찰은 강씨의 행위에 대해 “강씨는 LG텔레콤 가입자 정보에 접근권한이 없는데도 불구하고 불법으로 접근해 정보를 유출한 것”이라며 “이것을 해킹이다 아니다라고 말하긴 뭐하다. 경찰들은 해킹이란 말은 잘 안쓴다. 다만 법적으로 불법행위가 확실하기 때문에 기소했다”고 말했다.


하지만 석연치 않은 부분들이 많다. 물론 검찰조사에서 더 자세하게 밝혀지겠지만 몇가지 짚고 넘어가야할 부분들이 있다. 


◇LG텔레콤 서버계정과 고객정보, URL에 5년간 노출=경찰은 발표에서 강씨가 LG텔레콤 서버에 접속할 수 있는 계정을 알아냈다고 발표했다.


사이버수사대 김태현 경위는 “서버에 접속할 수 있는 계정을 알아낸 것이 맞다”고 말했지만, 강씨는 “서버 아이디를 알아냈다는 것은 말도 안된다. 엠샵 사이트에 휴대폰 번호를 입력하고 '속성'에 나타난 주소에 URL과 함께 서버 접근계정과 주민번호 13자리 등 개인정보가 그대로 노출되고 있었던 것”이라며 “URL속에 서버 계정이 포함돼 있었다는 것도 경찰조사 과정에서 경찰측이 말해서 알게 됐다”고 반박했다.


즉 엠샵 사이트에서는 전문 프로그래머가 코딩작업을 하지 않더라도 휴대폰 번호만 입력하면 주소창 URL 뒷부분에 LG텔레콤의 가입고객 정보가 그대로 노출되고 있었던 것을 알 수 있었다. 다시말해 LG텔레콤은 엠샵이라는 사이트에서 자신들의 가입자 정보인 주민등록번호와 서버 접근계정이 URL상에 노출되고 있었던 것을 5년간 몰랐다는 것이다.


또 하나 경찰은 “엠샵이 단순히 모대학교가 연구목적으로 이용하도록 구축한 홈페이지”라고 밝혔지만, 분명 엠샵은 휴대폰 정보와 관련돼 결제가 이루어지던 영리목적 사이트였다. 이 부분은 경찰조사가 미흡했던 점으로 파악된다. 


한편 일부에서는 “경찰이 이번 사건을 LG텔레콤의 고객정보노출과 계정노출 등 허술한 보안문제에 초점을 맞추기 보다는 한 개인이 저지른 행동에 너무 과잉 반응을 보인 것 아니냐”는 지적도 나오고 있다.  


강씨는 “엠샵에서 그러한 정보들이 노출돼 있지 않았다면 사이트에 링크를 거는 것도 없었을 것”이라며 “공개된 것이 어떻게 비밀이 될 수 있는지 모르겠다”고 말했다.


이에 경찰은 공개된 정보지만 그 정보는 개인정보 등 비밀정보였기 때문에 접근하면 안된다는 논리로 말했다고 한다. 접근이 가능했던 비밀이란 무엇일까. 비밀이었다면 왜 접근이 가능했을까. 


◇강씨를 '범인' 등으로 묘사...언론보도 문제=경찰수사 발표를 보도한 언론사들은 강씨에 대해 ‘범인’이라는 말을 서슴치 않고 사용하고 있는 것도 문제로 지적되고 있다. ‘범인’이란 단어는 법원판결이 난후 사용해야 할 단어들이다. 또 일부 언론에서는 “강씨가 LG텔레콤이 고객정보보호에 취약하다는 것을 언론에 알리고 이를 이용해 LG텔레콤으로부터 금품을 요구하려고 계획한 것으로 밝혀졌다”고 잘못된 보도를 하고 있어 논란이 예상된다. 


이 부분은 경찰 책임이 크다고 볼 수 있다. 강씨는 “개발일을 10년 가까이 하다보니 연봉이 꽤 된다. 돈을 벌려고 했으면 개발업무로 아르바이트만해도 훨씬 괜찮은 수입을 벌 수 있다”며 “내가 돈을 벌기위해 이렇게 했다고 몰고 가는 것에 할 말을 잃었다. 메신저 상에서 친구와 장난으로 한 말을 경찰이 저렇게 언론에 말하고 언론들이 이를 완전 외곡해서 보도하는 것은 정말 이해할 수 없다”라고 말했다.


사실 언론들이 더 문제다. 법원판결이 아직 나지 않은 피의자 신분의 강씨를 마치 확정된 범인으로 몰아가고 있는 것이다. 또 근본적인 원인을 제공한 LG텔레콤의 보안결함에 초점을 맞추기보다 포털에서 일하는 개발자가 이러한 일을 계획적으로 돈을 벌기위해 했다는 식으로 수사와 보도를 하고 있는 것은 분명 문제다. 


강씨는 “LG텔레콤의 서버계정을 탈취하고 이를 이용해 정보를 유출해서 돈을 벌기 위해 자신의 서버를 구축하고 홈페이지를 만들어 이를 상업적으로 이용하려 했다는 것은 거의 소설수준”이라고 반박했다.


강씨는 해당 홈페이지를 지난 1998년부터 운영해오고 있었다고 한다. 즉 이번 사건을 위해 서버를 구축하고 홈페이지를 구축한 것이 아니라는 점이다.


경찰이 다행스럽게도 이 사건에 대해 LG텔레콤의 잘못을 덮어두지 않았다는 점에서는 고무적인 일이다. 하지만 그럴 의도가 아니었던 한 개인을 마치 정보유출로 돈을 벌려고 했던 파렴치범으로 몰고 가는 것에 대해서는 깊이 생각해봐야 한다. 또 아직 법원 판결이 나지 않은 개인을 범인으로 묘사하는 것은 언론이 자성해야할 부분이다.


◇양측의 보안의식 부족이 불러온 사건=이번 사건은 강씨가 우연히 발견한 엠샵에서 LG텔레콤의 고객정보가 그대로 노출되고 있었고 이를 자신의 홈페이지에 링크시켜 다른 사람들도 볼 수 있도록 한 것이 발단이 됐다. 좀 더 생각해보면 LG텔레콤과 강씨 양쪽의 보안의식 부족이 불러온 사건이란 것을 알 수 있다. 


엠샵에서 노출되던 LG텔레콤의 고객정보에는 주민등록번호가 뒷자리까지 모두 공개됐으며 LG텔레콤 고객전체였다. 반면 강씨가 자신의 홈페이지에 링크시킨 주민등록번호는 뒷자리를 별표처리해 공개했다고 한다. 


하지만 강씨 또한 보안의식이 부족했다는 지적도 많다. LG텔레콤의 취약점을 알았다면 자신의 홈페이지에 링크할 것이 아니라 바로 해당 업체와 관계 기관에 신고했다면 이러한 일은 없었을 것이라는 점이다. 


이제 검찰조사와 법원 판결이 남았다. 핵심은 LG텔레콤의 가입자 정보가 노출된 곳은 바로 엠샵이라는 곳이다. 강씨 홈페이지를 통해서 고객정보가 유출된 것이 아니라 원래부터 엠샵에서 정보가 노출돼 있었다는 점이다. 과연 검찰조사와 법원판결이 어떻게 날지 귀추가 주목된다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
   2008-04-28 오전 8:30:10
POST방식도 소용없죠. 로컬에다 폼파일 만들어서 전송하면 되는데...이걸 막으려면 Referer page를 체크하면 되는데..이거 역시 curl 사용하면 뚫을 수 있죠...
나그네   2008-04-27 오후 3:56:04
POST형식이면 작성하다 보니까 POST는 그런경우가 적던데.. GET방식인가 보네...
terrannara   2008-04-25 오후 9:12:18
URL 에다가 ID, PASSWORD 가 붙는건 대체 무슨짓이냐... 암호화는 커녕 세션이나 쿠키만 사용했어도 절대 없었을일을.. 그것도 상업적 용도의 싸이트가 그정도 밖에 안된게 제일 큰 문제 아닌가. 가치가 있는 물건을 보관하는 자물쇠로 잠긴 창고가 있는데 어떤사람이 사실 자물쇠는 없었다 라는 것을 알아낸것 밖에 더있나. 일부러 자물쇠를 따고 들어간것도 아니고 문이 이미 열려서 안에 있는게 다 보이는데. 문이 열려있더라는걸 알아낸것과, 다른사람에게 거기 문은 열려있더라 라고 말한게 잘못이라고 말할수 있는건가? 그렇다면 인터넷 없애 버려야지. 네버 닷컴 치면 네버 싸이트 들어가 지고 오른쪽 클릭해서 소스보기하면 소스나오는 거랑 같은거랑 말이지. 그런 소스에 중요정보를 처리없이 보이도록 작성한 싸이트가 잘못이다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술