가입자정보 노출한 LG텔레콤과 이를 링크한 개인

과연 진정한 ‘피의자’는 누굴까?...

IT 개발자로 일하고 있는 A씨는 지난 3월 21일 저녁, 친구인 B씨로부터 메신저를 통해 흥미로운(?) 정보를 듣게 됐다. 하지만 그것이 발단이 돼 A씨는 지금 결혼을 한 달 앞두고 ‘피의자’ 신분으로 경찰조사를 받는 처지에 처하게 됐다. 하지만 뭔가 석연치 않은 부분들이 많아 큰 파장이 예상된다. 

내용은 이렇다. 다른 사람에게 컬러링을 선물하기 위해 휴대폰 정보를 찾던 B씨는 구글을 이용해 검색창에 ‘폰정보조회’라는 키워드로 검색을 했다. 검색결과, 가장  신뢰가 가는 사이트 하나를 발견했다.

바로 ‘엠샵(www.mshop.or.kr, 현재 폐쇄상태)’이라는 곳이었다. B는 사이트에 접속을 하고 좌측 하단에 있는 ‘핸드폰정보조회’를 클릭했다. 작은 창이 뜨고 입력창에 자신의 휴대폰 번호를 입력했다. 그러자 휴대폰의 해상도 정보, 컬러수, 화음정보 등이 보였다.

그리고 개발자인 탓에 어떻게 정보가 뜨는지 공개된 소스보기를 열어봤다. B씨는 PC에 약간의 지식이 있는 사람들이라면 누구나 할 수 있는 방식으로 공개된 소스를 간단히 조합해 주소창에 입력을 해봤다. 그때 주소창 뒷부분에 이상한 정보들이 눈에 들어온 것이다.

바로 해당 휴대폰의 가입일, 가입자 주민등록번호, 폰모델명, 통신사 등의 개인정보가 그대로 노출되는 것이었다. 다름 아닌 ‘LG텔레콤’의 가입자 정보였다.

B씨는 이 사실을 친구인 A씨에게 메신저로 처음 알려줬다고 한다. 이 사실을 알게된 개발자 A씨는 자신의 홈페이지에 간단한 기술을 이용해 엠샵에서 노출되고 있는 LG텔레콤 가입자 정보들을 링크하는 방식으로 정보들이 주소창이 아닌 정렬된 형식으로 볼 수 있도록 프로그래밍해 올렸다고 한다.

즉 휴대폰 번호를 입력하면 아래에 휴대폰 가입일, 가입자 주민등록번호, 폰 모델명, 통신사, 무선인터넷 사용 아이디 등의 정보가 모니터에 뜨도록 간단하게 만든 것이다. 원래 노출되고 있었던 정보에 링크를 걸어 쉽게 보이도록 했다고 볼 수 있다. 이것이 3월 21일 밤에 일어난 일이다. 

그 후 23일 경, 누군가 한국정보보호진흥원(이하 KISA)에 A씨 개인홈페이지를 신고했다. 그는 A씨의 개인홈페이지에서 휴대폰 개인정보를 유출하고 있다는 서신을 KISA에 보냈고, KISA측은 이를 확인하고 서울지방경찰청 사이버수사대에 수사를 의뢰하게 됐다. 

사이버수사대는 25일 피의자 신분으로 A씨를 소환해 해킹과 개인정보 무단유포 등의 혐의로 조사를 실시했다. 물론 그 뒤 B씨도 참고인 자격으로 조사를 받았고 A와 B씨의 PC는 압수된 상태다.

◇LG텔레콤 고객정보보호 관리 허술 드러나=문제는 여기서 부터다. A씨는 “엠샵이라는 사이트가 오픈된 2007년 9월부터 지금까지 LG텔레콤의 가입자 정보가 그대로 노출되고 있었다는 자체가 더 큰 문제”라며 “확인결과 KTF나 SKT와 같은 타 통신사의 정보는 노출되지 않았고 LG텔레콤의 가입자 정보만 노출된 것”이라고 밝혔다.

또 “경찰은 이것을 불법해킹이라고 주장하지만 해킹이 아니라 원래 노출되어 있던 정보를 링크해놓은 형태일 뿐”이라며 “가입 고객정보를 누구나 볼 수 있도록 방치한 LG텔레콤에 근본적인 잘못이 있다”고 덧붙였다.

이와 관련 모 정보보호 전문가는 “엠샵이 LG텔레콤의 CP(컨텐츠 제공자)였다면 LG텔레콤은 당연히 공개될 수 있는 정보(휴대폰의 해상도 정보, 컬러수, 화음정보 등) 이외에 주민등록번호나 무선인터넷 아이디, 가입일 등과 같은 개인정보는 암호화하든지 차단했어야 했다”며 또 “정보가 유출되고 있다는 사실을 그때까지 모르고 있다가 경찰조사가 시작된 시점에서야 차단조치를 내린 것은 LG텔레콤이 개인정보 관리를 제대로 하지 않았다는 증거”라고 지적했다.

◇LG텔레콤, 경찰에 허위진술했다?=또 하나 논란이 되고 있는 점은 LG텔레콤이 경찰조사에서 허위사실을 진술했느냐는 점이다.

이에 대해 A씨는 “7년 전, LG텔레콤에서 아웃소싱으로 잠시 일을 한 적이 있다. 하지만 개인정보와 관련된 업무와는 완전 무관한 업무였다”며 “그럼에도 불구하고 LG텔레콤측이 경찰에 제출한 진술서를 보면 개인정보와 관련된 업무를 했다고 진술하고 있다”고 주장했다.

경찰은 A씨가 당시 개인정보 관련 업무를 담당하면서 LG텔레콤의 개인정보를 빼내 이를 이용해 정보공개를 하려 했다고 몰아가고 있는 분위기다. 이 부분은 좀더 철저한 조사가 이루어져야 할 것으로 보인다. 만약 LG텔레콤이 허위사실을 말했다면 비난을 면치 못할 것으로 보인다.

◇엠샵, LG텔레콤 가입자정보 노출사실 알고 있었나?=또 하나는 ‘엠샵’이라는 사이트에 대한 문제다. 일반적인 기업들은 URL에 ‘co.kr’ 혹은 ‘.com’을 주로 사용하지만 엠샵은 ‘or.kr’을 사용한다. ‘or’은 주로 공공기관에서 사용하는 URL이라고 볼 수 있다. A씨는 모 대학에서 운영한 사이트로 추정하고 있다.

거기까진 좋다. 모 대학에서 운영한 사이트였다면 사이트 개발자가 과연 LG텔레콤의 가입자 정보가 노출되고 있다는 사실을 과연 몰랐을까란 문제가 대두된다.

개발분야에 오래 몸담은 전문가들은 대부분 “말도 안된다. 그렇게 간단한 사실을 개발자가 몰랐다는 것은 있을 수 없다. 틀림없이 알고 있었을 것이다. LG텔레콤의 가입자 정보가 그대로 노출되는 것을 알고 있었으면서도 거의 1년여 동안 숨기고 있었다면 이 또한 조사를 받아야 한다”며 “노출이 되는지 안되는지도 모르고 있던 LG텔레콤도 문제지만 이 사실을 알면서도 LG텔레콤측에 알리지 않은 엠샵측도 정상적이라고 볼 수는 없다”고 지적했다. 

또 엠샵이 LG텔레콤 가입자 정보가 노출되는 것을 알았다면 그 정보들을 빼내 달리 사용했을 가능성도 있을 것이라고 유추해볼 수 있다고 지적했다. 이 또한 철저한 조사가 필요한 부분이다.

물론 A씨도 잘못이 없다고는 할 수 없다. 정보유출 사실을 확인했다면 그것을 개인홈페이지에 링크할 것이 아니라 KISA나 경찰청에 바로 신고를 하고 시정이 될 수 있도록 조치를 취하는 방법을 택했어야 한다.

◇경찰의 객관적인 수사 필요...진짜 피의자는 누구?=하지만 가장 큰 문제는 LG텔레콤이 허술하게 가입자 정보를 관리하고 있었다는 점이다. 허술한 보안으로 1년여 동안 CP 사이트에 노출상태로 있었음에도 이를 인지하지 못한 부분에 대한 책임이 따라야 한다. 또 엠샵 사이트 관리자도 이를 인지하고 있었을 것임에도 불구하고 이를 LG텔레콤측에 보고하지 않은 것은 분명 책임소재를 가려야 할 것이다.

이 사건을 알고 있는 정보보호 전문가들은 “경찰의 엄정하고 객관적인 조사가 이루어질 것으로 믿는다. 누가 ‘피의자’가 되어야 하고 누가 ‘피해자’인지 명확한 관계 정립이 다시 되어야 할 것”이라며 “피해자는 정보가 노출된 LG텔레콤 가입자들일 것이다. 그리고 진정한 피의자는 과연 누구일지 서울경찰청 사이버수사대는 곰곰이 따져 봐야할 것”이라고 강조했다.

 

많은 관계자들이 이 사건에 대해 경찰의 수사결과를 지켜보고 있다. 귀추가 주목된다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>