"KT는 양호하다더니" 미래부 홈페이지 보안성평가 '부실했다'

▲올해 1월8일 발표된 미래부의 이통사·포털사·웹하드사 보안취약점 평가 결과표

[아시아경제 김영식 기자]KT 홈페이지 해킹으로 가입자 1600만명의 75%인 1200만명의 고객정보가 유출된 가운데, 주무부처인 미래창조과학부가 지난 1월 KT 홈페이지의 보안수준이 양호하다는 평가를 내린 사실이 뒤늦게 밝혀졌다. 미래부의 조사가 부실하게 진행됐다는 논란을 피할 수 없을 전망이다.

미래부는 지난 1월8일 이동통신사·인터넷포털·웹하드 3개 분야의 11개 기업 홈페이지를 대상으로 보안취약점을 점검한 결과 포털사와 웹하드 업체의 홈페이지 보안수준이 취약한 반면 KT를 비롯한 이통3사의 홈페이지는 상대적으로 보안수준이 양호한 것으로 나타났다고 발표했다.

당시 주요 점검 항목은 홈페이지를 통한 악성코드 유포 및 개인정보 유출의 취약성 여부, 액티브X(ActiveX)같이 웹사이트를 통해 추가적으로 설치되는 프로그램의 안전성 여부 등이었다. 미래부는 이동통신사의 보안 수준은 평균 취약점 0.3개, 보안위협 평가 평균 13점으로 포털과 웹하드 업체에 비해 양호하며 웹보안시스템·인력 및 취약점 보완절차 등이 잘 갖춰져 있다는 평가를 내렸다.

이번 KT의 개인정보 유출은 지난해 수차례 발생한 해킹사고처럼 악성코드를 교묘히 침투시키는 등 복잡한 기술이 사용된 게 아니었으며, 공격자가 로그인해 들어온 후 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 프로그램을 통해 KT 가입고객의 9자리 고유번호를 맞추는 비교적 단순한 방식으로 이뤄졌다. 이 프로그램은 인터넷을 쉽게 구할 수 있으며 가장 기초적인 수준의 개인정보 빼내기에 속수무책으로 당할 정도로 보안 수준이 취약했다는 점이 드러난 것이다.

결국 미래부는 지난 1월 평가에서 KT 홈페이지의 보안 수준을 부실하게 측정했다는 비판을 피하지 못할 것으로 보인다. 당시 미래부는 "이번 취약점 평가는 홈페이지의 단순 취약점만을 점검했는데도 이러한 결과가 나왔다"고 밝힌 바 있다.

미래부 정보보호정책과 관계자는 “지난 1월에 실시했던 점검 과정이 구체적으로 어떻게 이뤄졌는지 확인해 봐야 할 것”이라면서 “해킹을 막기 위한 점검도 사람이 하는 것이다 보니 미처 발견치 못한 취약점이 이번에 드러난 것일 수 있다”고 설명했다.

또 단순한 방식으로 개인정보가 대량으로 유출된 점에 대해서는 “홈페이지 관리보다는 설계 자체부터 있던 문제가 악용된 것으로 보인다”고 분석했다.

김영식 기자 grad@asiae.co.kr