'정부 인증' 받은 KT 홈피…초보적 해킹에 뚫렸다

<앵커>

이번 KT 해킹은 사실 해킹이라고 부르기도 민망한 초보 수준이었습니다. 그런데도 무방비로 당한 KT는 정부로부터 개인정보 관리를 잘하고 있다는 정보보호 관리체계 인증까지 받았습니다. 엉터리 보안에 엉터리 인증이었던 셈입니다.

김수형 기자가 단독 보도합니다.

<기자>

KT 고객의 개인정보를 빼내는 데 활용된 '파로스' 프로그램입니다.

인터넷 검색엔진을 통해 누구나 내려받을 수 있는 해킹 프로그램입니다.

해커는 이 프로그램을 토대로 개인정보 조회란에 고유숫자 9개를 무작위로 전수대입하는 간단한 프로그램을 더해 올레닷컴의 가입자 정보를 빼냈습니다.

[김승주/고려대 사이버국방학과 교수 : 해킹에 대해서 조금 관심 있는 사용자라면 누구든지 쉽게 구현해낼 수 있을 것 같습니다.]

구속된 해커 김 모 씨는 경찰에서 여기저기 해킹을 시도했는데 다른 데는 안 됐고 KT만 통했다고 진술한 것으로 알려졌습니다.

1년 넘게 매일 엄청난 횟수의 접속을 했는데도 KT 측은 전혀 알아채지 못했고, 해커는 맞는 비밀번호가 나올 때까지 마음 놓고 홈페이지를 뒤진 겁니다.

이런 보안상 허점이 있는데도 올레닷컴에는 정부로부터 받은 '정보보호 관리체계 인증서'가 올려져 있습니다.

개인정보를 체계적으로 잘 관리하고 있다고 정부가 확인해준 셈입니다.

SBS 취재결과, 미래부 산하 인터넷진흥원이 첫 화면만 점검하고는 정작 민감한 개인정보가 담긴 메뉴는 확인조차 안 한 걸로 드러났습니다.

[한국인터넷진흥원 관계자 : (개인정보 담긴 메뉴는) 영업전산망 내부망에 속하는 시스템이므로 ISMS(정보보호 관리체계)의 심사대상일 필요가 없다는 이런 주장이었고, 그걸 우리 인증 심사팀이 받아들였던 거고.]

[박대출/새누리당 의원 : 부실한 정부 인증제도가 기업들의 보안 불감증을 키우고 있습니다. 기업들의 보안 경쟁을 유도하기 위해서 기업정보보호 공시제를 도입할 필요가 있습니다.]

KT의 허술한 보안 체계에, 정부의 하나 마나 한 보안 인증까지 개인 정보 유출 사고가 반복되는 데는 이유가 있었습니다.

(영상취재 : 강동철, 영상편집 : 우기정)