[보안뉴스 김경애] KT 홈페이지 해킹은 이미 2년 전부터 지적된 홈피 관리 부실의 결과였던 것으로 드러났다.

KT는 지난 2012년 개인정보보호관리체계(PIMS) 인증을 취소당한 바 있다. 이는 2012년 PIMS 인증을 받고 나서 얼마 지나지 않아 보안사고가 발생했기 때문이다. 특히 사고 이후에도 홈페이지 관리는 여전히 부실했던 것으로 드러났다. 

홈페이지 관리는 ISMS 또는 PIMS 보안관련 인증을 취득할 때 심사기준에 포함돼 있다. 이와 관련 한 보안전문가는 “ISMS나 PIMS 인증 모두 홈페이지 보안관리가 주요 심사기준에 포함돼 있다”며 “KT의 경우 홈페이지 관리 부실로 PIMS 인증은 취득하지 못했다”고 밝혔다.

KT 홈페이지의 경우, ISMS인증만 취득했을 뿐,  PIMS인증은 취득하지 못했다. 이는 ISMS인증을 취득했음에도 불구하고, 개인정보를 인터넷 홈페이지를 통해 수집하면서도 홈페이지 관리는 소홀했다는 것을 의미한다.

또한 PIMS인증 심사 당시 홈페이지관리가 제대로 되지 않았다는 것이다. 이와 관련 한 보안전문가는 “이전 사고 이후에도 얼마만큼 후속조치를 했는지 실사 점검을 나가보면, 소스코드 보안이라든가 접근통제와 관련해 여전히 부실했다”며 “이번 해킹사건도 파로스 프록시 등을 사전에 감지했어야 하는데 시스템적으로 작동하지 않았던 것”이라고 지적했다.

홈페이지 부문에서는 지금까지 PIMS 인증을 취득하지 못한 KT. 이는 지난 번에 이어 이번 사고까지 그동안 홈페이지 관리가 제대로 이뤄지지 않았다는 사실을 입증하고 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>