익스플로러 기본 제공 기능으로 주민번호, 카드사 유효기간 등 열람돼

KT의 정보유출은 윈도우를 쓰고 있는 사용자라면 버튼 하나로 누구나 정보를 열람할 수 있었던 것으로 드러나 충격을 주고 있다.

7일 오전 한 누리꾼은 자신의 블로그에 KT 개인정보 해킹에 관한 설명글을 올렸다. 이 게시글에서는 자신의 아이디로 로그인 한 후 나오는 스크립트 값 중 요금 명세서 부분의 숫자만 바꾸면 얼마든지 다른 사람의 정보를 확인할 수 있다고 밝혀 논란이 일고 있다.

윈도우는 인터넷 익스플로러 환경에서 F12 키를 누를 경우 스크립트 값을 보여준다. 누리꾼이 공개한 개인정보 유출의 실체가 바로 이것에 기인한다.

자신의 아이디로 로그인 한 이 누리꾼은 F12를 누른 스크립트 값을 공개했는데 게시된 사진에는 놀랍게도 사용하는 요금제부터 시작해 주민번호, 고객번호, 자동이체 통장 코드, 카드사 정보 및 유효기간, 핸드폰 고유 일련번호, 이름, 아이디, 주소 등이 무방비로 노출돼 있었다.

문제는 고객의 개인정보를 과도하게 브라우저로 노출시킨다는 점인데 UID(개인 고유번호)만 바꾸면 누구나 볼 수 있다는 점이다. 고객들의 UID의 변조를 가능케 한 매개체가 바로 ‘파로스’인데 이는 2000년 중반 이후로 더 이상 사용되지 않고 있는 대신 인터넷을 통해 누구나 쉽게 접근하고 이용할 수 있는 프로그램이다.

보안 업계의 한 관계자는 “일반적으로 웹 사이트를 구축할 때는 불필요한 정보가 오가거나 강제로 해킹되는 것을 막기 위해 전송구간을 암호화하는게 기본”이라며 “암호화 장치만 돼있었다면 파로스 프로그램을 실행해도 해킹을 할 수 없었을 것”이라며 KT의 홈페이지 구축시의 문제를 지적했다.

경쟁 업체인 SKT와 LG U+는 전송구간의 암호화가 돼 있어 피해를 입지 않은 것으로 나타났다. 규모 있는 업체라면 당연히 웹사이트 구축시 전송구간의 암호화를 시행한다는 것이 전문가들의 입장이다.

2년 만에 또다시 대규모 해킹 사태로 보안 관리 부실을 안고 도마에 오른 KT. 하지만 이같은 사고는 안일한 홈페이지 구축과 정보 송출로 인한 예견된 파국이었다.

더불어 KT는 이같은 사고 발생을 알고도 즉시 정부에 신고치 않았던 것으로 밝혀졌다. 적나라하게 실체가 드러난 KT가 과연 어떠한 입장을 보일지, 또한 정부 부처는 두 번이나 대규모 유출사고를 일으킨 KT에 어떠한 조치를 취할지 국민들의 시선이 집중되고 있다.

[중앙뉴스 / 채성오 기자]
저작권자 © 중앙뉴스 무단전재 및 재배포 금지