Home > 전체기사
LG텔레콤 700만 고객정보 노출사건...논란은 계속
  |  입력 : 2008-04-25 01:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

강씨, 경찰-언론의 잘못된 발표내용 반박글 게재...관심 집중

치명적 취약점을 몰랐던 LG텔레콤...이를 공개한 강씨...

“보안취약점 공개방법 매뉴얼있었다면” 하는 아쉬움


LG텔레콤 가입자 정보 노출 사건이 경찰 조사 결과 발표가 있은 후 더욱 논란이 가중되고 있다.


한편 이 사건을 통해 경찰에 피의자 신분으로 조사를 받고 불구속기소된 강씨는 23일 자신의 블로그(fguy.tistory.com)에 경찰에서 발표한 내용과 언론에 잘못 보도된 부분에 대해 요목조목 반박하는 글을 게재해 네티즌들의 관심이 집중되고 있다. (아래: 지금은 폐쇄된 문제의 엠샵 사이트 이미지)

 


강씨는 블로그에 “경찰의 수사 발표 이후 수많은 기사를 접할 수 있었다. 대부분의 오해는 역량부족으로 인한 경찰의 부실 결과도출이 원인이겠습니다만, 이미 경찰의 손을 떠났고 언론을 통해 잘못된 정보를 접한 분들이 대부분이기에 각 기사의 잘못된 부분을 하나씩 짚어가며 해명해보겠다”며 글을 올렸다. (◇=경찰발표를 그대로 게재한 언론보도 내용, ◆=강씨 주장.)


◇언론보도=초보 수준의 웹프로그래머라도 쉽게 취약점을 알아낼 보안 수준.

◆강씨=해당 취약점은 웹프로그래머가 아니라도 주소라는 개념을 이해할 수 있는 인터넷 사용자라면 누구나 알 수 있을 만큼 허술했다. 입력창에 전화번호를 넣으면 <http://char.ez-i.co.kr/auth/phoneAuth.jsp?returnUrl=http%3A%2F%2Fmshop.or.kr%2Ftelecom%2Fresphoneinfo.jsp&cpId=mivept&pass=mivept&ctn=01XXXXXXXXX&contentType=C>라는 URL로 넘어가게 되고(이 부분은 스크린샷을 획득하지 못했음. 현재는 사이트 폐쇄상태), 잠시 후 주소입력란에 개인정보가 나타나게 된다.

이러한 과정으로 별다른 지식이나 도구 없이 브라우저를 통해 쉽게 정보를 취득할 수 있었기 때문에 굳이 웹프로그래머 수준이 아니더라도 정보 유출을 확인할 수 있었다.


◇언론보도=LG텔레콤 서버에 접속할 수 있는 ID와 비밀번호 등 계정을 알아낸 뒤 지난달 21∼25일 휴대전화번호를 입력하면 실시간으로 고객의 인적사항 등을 조회할 수 있는 웹페이지를 개설, 개인정보를 빼낸 혐의를 받고 있다.

◆강씨=브라우저를 통해 위의 URL만을 알아냈으며 페이지를 만들 당시에는 URL내에 ID와 비밀번호 등의 계정 정보가 들어있는 지 알지 못했다. 또한 당시 만든 웹페이지는 개인정보의 조회보다는 이미 제공되고 있는 개인정보의 유출을 확인하는 페이지였으며 페이지는 만들었지만 결단코 개인정보를 빼내지 않았다.


◇언론보도=서버에 침투해 접속 ID와 비밀번호, 주소 등을 알아낸 뒤 고객정보 데이터베이스(DB)와 연결.

◆강씨=서버가 어디인지 모르며 서버에 접속한 사실 조차 없다. 더욱이 데이터베이스와 연결할 능력도 안되며 그러한 사실이 없다. 또한 Mshop(엠샵)의 소스코드는 본 적이 없으며 Mshop을 통해서 취득한 정보는 앞서 언급한 URL이 전부다.


◇언론보도=서버의 소스를 분석해 자신이 직접 구축한 서버로 자료를 전송받을 수 있도록 치밀하게 프로그램을 제작한 것으로 밝혀졌다.

◆강씨=HTML을 보면 알 수 있듯이 서버로는 아무런 자료도 전송되지 않는다. 그리고 경찰에서 확보한 저의 메신저 기록에도 나타나 있지만 친구가 알려준 URL로부터 단 시간내에 즉흥적으로 만든 페이지다. 메신저 기록에는 친구가 알려준 시간과 완성시간이 나타나 있다.


◇언론보도=CP 고객정보관리서버에 접속할 수 있는 ID와 비밀번호, 서버 주소가 포털사이트에 근무중인 개인에게 유출된 것.

◆강씨=CP 고객정보관리서버가 아니라 Mshop이라는 공개상업사이트에서 실제로 제공한 서비스였다. 마찬가지로 서버에 접속할 수 있는 어떠한 정보도 취득한 바가 없다.


◇언론보도=주민등록번호 유출된 고객이 171명, 주민등록번호 앞자리만 유출된 고객은 199명으로 총 370명의 개인정보가 노출됐다.

◆강씨=주민등록번호는 전체 13자리가 모두 노출되고 있었다.


◇언론보도=신속한 수사로 실제로는 570여 건이 유출된 데 머물렀지만...

◆강씨=앞서 언급한대로 별다른 지식 없이도 Mshop에서 쉽게 개인정보를 취득할 수 있었기 때문에 제 홈페이지에 올린 HTML로 유출된 건 수는 의미가 없다고 할 수 있겠다. 경찰이 한 일은 5일간의 유출을 막은 것이 아니라 LGT가 방치한 5년간의 유출을 막은 것이다.

 5일간 인지도가 없는 제 개인 홈페이지를 통해 570여건(이 노출됐지만), 구글에서 가장 상위에 노출될 정도의 상업사이트인 Mshop에서는 5년간 얼마나 많은 (LG텔레콤 가입자 정보가)유출이 됐는지는 LGT(LG텔레콤) 만이 알 수 있을 것이다.


◇언론보도=LG텔레콤으로부터 금품을 요구하려고 계획한 것으로 밝혀졌다.

◆강씨=LG텔레콤으로부터 3월 24일 법적인 대응과 보상을 요구하겠다는 전화를 받고, 이에 대한 반대급부로 메신저로 친구끼리 “피해자는 우리인데 왜 우리가 보상을 해야하나, 보상은 우리가 받아야 한다”는 의도로 가벼운 농담조로 주고받은 내용이 있다. 경찰도 조사과정에서 이 사실은 친구끼리 얼마든지 할 수 있는 농담 수준임을 인정한다고 밝혔다. 그러나 친구와 주고받은 대화의 앞뒤는 제외한 채 문장하나만 꼬투리 잡고서 이번 수사발표에서 어이없는 결론을 내려버렸다. 

LG텔레콤에 금품을 요구한 사실은 없으며 친구와 메신저로 주고받은 내용 외에 단 한 번도 언급한 적이 없다. 친구와의 대화에서의 결론적 금품은 4천원이었다.

 

강씨가 게재한 위 반박 글에 대한 네티즌들의 반응도 분분하다. 하지만 분명한 것은 LG텔레콤의 허술한 보안으로 인해 5년 여간 고객정보가 노출된 상태로 방치되고 있었다는 점이다. 만약 중국 크래커(해킹기술을 악용하는 자)가 이 취약점을 몇 년 전에 알고 있었다면 어떻게 됐을까. LG텔레콤의 모든 고객정보는 대부분 크래커의 손에 쉽게 넘어갔을 것이다.


“LG텔레콤은 너무도 치명적인 취약점을 5년간 방치한 것이고, 이 사실을 친구에게서 전해들은 강씨는 그 취약점을 공개하는 방법에서 서툴렀다”는 것이 보안전문가들의 지배적인 의견이다. 또 “보안취약점 공개방법에 대한 매뉴얼이 없다는 사실이 안타깝다”는 의견도 많다. 

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향