LIVE 제보하기

'나쁜 놈'을 '안전하게' 때리는 법은?

이동통신사 고객정보 실시간 누출 사건

유성재 기자

작성 2008.04.23 09:29 수정 2008.10.07 14:38 조회수
프린트기사본문프린트하기 글자 크기
기사 대표 이미지:나쁜 놈을 안전하게 때리는 법은?

올해 서른살인 프로그래머 A씨는 얼마 전 친구들과 메신저로 대화를 나누다가 '폰 정보 조회'라는 사이트를 알게 됐습니다. 이 사이트는 D모 포털에서 운영하는 'M' 쇼핑사이트에서 휴대전화 벨소리나 컬러링 콘텐츠를 구매하는 과정에서 휴대전화 가입자의 정보를 볼 수 있도록 만들어진 곳이었는데요, 간단한 HTML 지식만 있으면 사이트 이용 과정에서 소스 보기를 통해 휴대전화 사업자(LG텔레콤)의 운영자 아이디와 패스워드를 볼 수 있었습니다. 예를 들어,

http://ublog.sbs.co.kr/nsReporter/goNewsInsert.action&id=admin&pw=secret

위에서 굵은 글씨로 된 부분이 사이트 이용중에 스쳐지나가는 id와 pw(패스워드)인데, 이걸 캐치한거죠. 이건 A씨가 의도적으로 해킹을 했다기 보다는 앞서 말씀드린 '폰 정보 조회'라는 사이트를 이용하는 과정에서 '알게 됐다'고 보는 편이 맞을 것 같습니다.

처음에 A씨는 M쇼핑사이트가 LG텔레콤 가입자의 정보를 유출하는 것으로 알고 있었지만 인터넷 페이지의 소스 보기를 통해 실제로 정보가 흘러나오는 곳은 LG텔레콤이고 M쇼핑사이트는 단지 중간의 게이트웨이 역할만 한다는 사실을 알게 됐습니다. 거대 통신사업자가 관리하는 수백만 명의 가입자 정보를 '휴대전화 번호 하나로' 알 수 있다는 사실에 경악한 A씨는 이를 친구들에게 알리고자 자신의 블로그에 '휴대폰 정보조회'라는 페이지를 만들었습니다. '이런 게 있으니 한 번 해봐라.'는 거였죠. 그리고, A씨는 이렇게 고객 정보를 손쉽게 새어 나가도록 허술하게 시스템을 구축한 LG텔레콤에 강력하게 항의하겠다는 생각을 가지고 있었다고 합니다. 여기까지가 지난 3월 말에 일어난 일입니다.

그리고 어제, 서울지방경찰청은 다음과 같은 보도자료를 냈습니다. 요약입니다.

<이동통신사의 서버에 고객정보 위탁업체가 접속하는 계정을 알아내 고객정보를 실시간으로 조회할 수 있는 웹페이지를 구축한 유명포탈업체 직원 1명 검거(불구속)>

<피의자 A는 팝업 창의 소스를 통해 이동통신사 서버에 접속할 수 있는 계정과 소스 코드를 알아낸 후, 휴대전화번호를 입력하면 실시간으로 고객의 인적사항 등을 조회할 수 있는 웹페이지를 개설하여 개인정보를 누설>

A씨는 5년 이하의 징역과 5천만원 이하의 벌금형에 처해지는, 이른바 '정보보호법' 위반자로 불구속 입건됐습니다. 경찰은 '개인정보의 중요성을 누구보다 잘 알고 있으며 보호해야 할 포털 업체의 프로그래머가 이동통신사의 허술한 보안조치를 역이용하여 고객정보 위탁업체의 서버 접속계정을 알아내 실시간으로 연동되어 고객정보가 유출되는 웹페이지를 구축하여 운영'했다며(길기도 하네요...헉헉) A씨 검거를 크게 떠들어댔습니다. 또 '이동통신사의 고객 정보가 실시간으로 유출된 최초의 사건'이라며 딴에는 큰 의미를 두었습니다. 경찰의 발표만 보면 불구속도 아까운 해커, '해커 괴수'쯤 되는 사람의 얘기 같습니다그려.

A씨의 잘못은 폰 정보 조회라는 사이트에서 LG텔레콤의 운영자 아이디/비밀번호를 추출해 낼 수 있다는 사실을 안 바로 그 순간에, 경찰이나 관련기관에 신고하지 않고 그 사실을 누구나 와서 볼 수 있는 블로그에 공개한 것입니다. 경찰은 'A씨가 개인정보를 누설하려는 목적'을 가진 것으로 판단했고, 'A씨가 고객정보가 유출되는 웹페이지를 구축해 운영'했다고 발표했지만, 제가 보기에 A씨에게 그런 불순한 의도는 없었던 것 같습니다. 단지 블로그에 글을 쓰듯이, 간단한 퀘스트 프로그램을 만들듯이, 소일거리삼아, 재미삼아 만든 '휴대폰 정보 조회' 라는 콘텐츠가 얼마나 심각한 법적 문제를 야기하는지에 대해, A씨는 미처 생각하지 못했던 겁니다.

그러므로 '해커 괴수'를 잡은 것 처럼 호들갑을 떠는 경찰의 발표가, 발표에 쓰인 말들이 저는 참으로 마음에 들지 않았습니다. A씨도 스스로 생각하기에 억울했는지 자신의 블로그에 사건의 개요와 소회를 상세하게 적어 놓았더군요. 흥미가 있으신 분은 꼭 한 번 가 보시길 권합니다. (클릭-새창) 그런데 말이죠,

진짜 '나쁜 놈'은 누구인가요?

제가 생각하는 '나쁜 놈'은 다음과 같은 조치를 당했습니다.

<고객정보 보호조치 의무를 위반-방송통신위원회에 행정 처분 의뢰(과태료 사안)>

형사입건과 과태료, 일개 프로그래머와 거대 조직. 통신위원회가 사안에 따라 많게는 몇십, 몇 백억씩 과태료를 때리면 말이죠, 이동통신사들은 '이렇게 많이 내라고 하시면 저희는 추가 투자고 뭐고 안할 거에욧, 요금 인하도 더 이상 신경 못 쓴단 말에욧.' 하면서 과태료때문에 죽겠다고 징징댑니다. (그러면서도 내기는 잘 냅니다.) 불구속 입건자라는 '범법자'까지 특정된 이 사안에 대한 과태료가 얼마나 될 지는 나중에 알게 되겠지만, 틀림없이 '이 정도로 막아서 다행'이라는 말들이 흘러나오겠죠. 이래저래 A씨만 불쌍하게 됐습니다. 그리고,

사실 이 부분이 이 취재파일을 쓰게 된 가장 큰 이유인데요, A씨가 자신의 블로그에 새로 알게 된 사실을 공개하기 전에 기자에게 제보를 했으면 어땠을까요? A씨가 바로 기자에게 제보를 했다고 생각하면, 꽤나 의미있는 특종기사가 탄생했을 겁니다. LG텔레콤도 언론을 통해 말 그대로 '싹싹 빌 만한' 사안이고요, 제보자인 A씨도 불구속이라는 지금 상황에 처할 일은 없었겠죠. 게다가 이렇게 우연히 보거나 듣거나 접하는 불합리함이나 황당함 들은  매일 뉴스 아이템 고민에 시달리는 기자에게는 정말로 좋은 기사거리니까, 그야말로 누이 좋고 매부 좋은 일입니다. 그러니까 이런 일이 있으면 주저하지 마시고,

연락 주세요. ^^ 

 

  [편집자주] IT분야에 전문성이 느껴지는 유성재 기자는 2001년 SBS에 입사해 정보통신부 출입기자와 인터넷뉴스팀 기자로 다년간 활동했습니다. 지금은 사회2부 경찰기자팀의 부팀장격인 '바이스캡'으로 활약중입니다.