국내 이동통신 시장은 세계적으로도 가장 경쟁이 치열한 곳입니다. 까다로운 국내 소비자들의 입맛을 맞추기 위해 업체들이 각종 신기술을 적용한 전화기와 서비스를 경쟁적으로 내놓기에 세계적인 일종의 '테스트 베드'이기도 합니다. 그런데, 3대 이동통신사의 한 곳인 LG텔레콤의 가입자 관리는 믿을 수 없을만큼 허술했습니다.
인터넷엔 '폰 정보 조회'사이트들이 있습니다. 만약 제가 친구에게 컬러링을 선물한다고 할 때 그 친구가 사용하는 휴대전화 기종과 화음 수 등을 알아야 할 필요가 있을 수 있죠. 이런 정보들을 이동통신사에서 받아 서비스하는 겁니다.
그런데, 구글에서 '폰 정보 조회'라고 검색하면 상위에 검색되는 한 사이트의 보안이 매우 허술하다는 소문이 IT 개발자들 사이에 돌았습니다. 그래서 지난 3월 한 웹 프로그래머가 직접 확인을 해봤습니다. 친구가 알려준대로 사이트에 들어갔습니다. 인터넷 검색을 하시다보면 페이지가 전환될 때가 많습니다. 하이퍼링크를 통해 새로운 페이지를 찾아가는 거죠. 이때 익스플로러 창 아래에 있는 상태표시줄에 보면 찾아가시는 페이지의 URL이 뜨는 경우가 왕왕 있습니다. 이 프로그래머도 사이트에 들어가 폰 정보를 조회하다보니 상태표시줄에 뜨는 URL을 볼 수 있었습니다.
그런데 여기에 ID=xxxx, PW=xxxx 라는 식의 코드가 있었던 겁니다.
이게 어디에 들어가는 계정일까요? 놀랍게도... LGT의 고객관리 서버 계정이었습니다. 서버는 우리가 일상적으로 사용하는 윈도우즈가 아닌 유닉스나 리눅스 또는 윈도우즈 NT라는 운영체제를 사용합니다.이들 운영체제는 '사용 권한' 구분이 엄격합니다. 윈도우즈 XP도 '사용 권한'에 따라 할 수 있는 일이 다르죠. 일반적으로 업계에선 필요한 정보만 볼 수 있도록 권한을 설정합니다.
그런데... 이렇게 쉽게(인터넷과 프로그래밍에 대한 지식이 조금만 있다면 무척 쉬운 일입니다.) 계정이 노출되다니요. 더욱 놀라운 일은 이 계정이 모든 정보를 볼 수 있는 '운영자 계정'이었다는 겁니다. LGT 가입자의 휴대전화 번호를 입력하면 주민등록번호, LGT 가입일 등이 그대로 나타나는 거죠. LGT는 2003년 업체들과 계약을 맺으면서 업체들의 사업에 필요한 고객 정보를 내줄 때 임시로 '운영자 계정'을 줬다고 합니다. 이걸 일정한 제한을 걸어서 필요한 정보만 볼 수 있도록 바꿨어야 했는데 하지 않았다는 거죠.
따라서 나쁜 맘을 먹은 해커가 이런 식으로 접근했다면 통째로 개인정보가 유출될 수 있는 허술한 체제로 5년 넘게 운영한 셈입니다. 또, 이들 정보가 표시될 때 '암호화'를 거쳐 설사 노출되더라도 쉽사리 알 수 없도록 해야하는데 이 역시 하지 않았죠. 고객 관리 서버에 접속할 수 있는 계정은 허용된 IP로 한정하고, 허용되지 않은 IP가 접속을 시도할 경우 해킹으로 간주하고 차단해버리는 보안장비도 보편화돼있지만 LGT는 역시 설치하지 않았습니다.
LGT는 이 사건이 터지자마자 협력업체에 부여한 계정을 모두 교체했다며 IP 제한 장치 등의 보안 조치를 취하겠다고 합니다. 통신회사나 포털 등이 개인정보를 수집하는 것에 대해 논란이 많습니다. 이들이 왜 주민등록번호와 주소, 전화번호, 결혼기념일 등을 알아야하느냐란 거죠. 선택사항으로 돌린 것이야 안 하면 그만이니 그렇다쳐도 필수적으로 주민등록번호와 전화번호를 요구할 필요가 있느냐란 것에 논란이 분분합니다.
업계는 '개인화 서비스'를 실시하기 위한 마케팅 측면, 이용자 관리를 위한 측면 등에서 이들 정보가 불가피하다고 주장합니다. 마케팅이야 업계 사정이니 그렇다 치더라도 이용자 관리란 측면에서 보면 '주민등록번호'란 것이 존재하는 한 이해가 가기도 합니다. 그렇다면 이렇게 소중한 개인정보를 관리하면서 최대한의 보안 장치를 취하는 게 당연한 일인데...
고도의 해킹 기술도 아니고...너무나 허술하게 뚫리도록 관리되고 있었다는 건 솔직히 충격입니다.