LG텔레콤이 가입자 정보를 "엠샴"에 넘겨줘...

가입자정보 노출한 LG텔레콤과 이를 링크한 개인

과연 진정한 ‘피의자’는 누굴까?...

[단독]LG텔레콤 가입자 정보노출...파장 일파만파 
[입력날짜: 2008-04-17]

IT 개발자로 일하고 있는 A씨는 지난 3월 21일 저녁, 친구인 B씨로부터 메신저를 통해 흥미로운(?) 정보를 듣게 됐다. 하지만 그것이 발단이 돼 A씨는 지금 결혼을 한 달 앞두고 ‘피의자’ 신분으로 경찰조사를 받는 처지에 처하게 됐다. 하지만 뭔가 석연치 않은 부분들이 많아 큰 파장이 예상된다. 

 

내용은 이렇다. 다른 사람에게 컬러링을 선물하기 위해 휴대폰 정보를 찾던 B씨는 구글을 이용해 검색창에 ‘폰정보조회’라는 키워드로 검색을 했다. 검색결과, 가장  신뢰가 가는 사이트 하나를 발견했다.

바로 ‘엠샵(www.mshop.or.kr, 현재 폐쇄상태)’이라는 곳이었다. B는 사이트에 접속을 하고 좌측 하단에 있는 ‘핸드폰정보조회’를 클릭했다. 작은 창이 뜨고 입력창에 자신의 휴대폰 번호를 입력했다. 그러자 휴대폰의 해상도 정보, 컬러수, 화음정보 등이 보였다.

그리고 개발자인 탓에 어떻게 정보가 뜨는지 공개된 소스보기를 열어봤다. B씨는 PC에 약간의 지식이 있는 사람들이라면 누구나 할 수 있는 방식으로 공개된 소스를 간단히 조합해 주소창에 입력을 해봤다. 그때 주소창 뒷부분에 이상한 정보들이 눈에 들어온 것이다.

바로 해당 휴대폰의 가입일, 가입자 주민등록번호, 폰모델명, 통신사 등의 개인정보가 그대로 노출되는 것이었다. 다름 아닌 ‘LG텔레콤’의 가입자 정보였다.

B씨는 이 사실을 친구인 A씨에게 메신저로 처음 알려줬다고 한다. 이 사실을 알게된 개발자 A씨는 자신의 홈페이지에 간단한 기술을 이용해 엠샵에서 노출되고 있는 LG텔레콤 가입자 정보들을 링크하는 방식으로 정보들이 주소창이 아닌 정렬된 형식으로 볼 수 있도록 프로그래밍해 올렸다고 한다.

즉 휴대폰 번호를 입력하면 아래에 휴대폰 가입일, 가입자 주민등록번호, 폰 모델명, 통신사, 무선인터넷 사용 아이디 등의 정보가 모니터에 뜨도록 간단하게 만든 것이다. 원래 노출되고 있었던 정보에 링크를 걸어 쉽게 보이도록 했다고 볼 수 있다. 이것이 3월 21일 밤에 일어난 일이다. 

그 후 23일 경, 누군가 한국정보보호진흥원(이하 KISA)에 A씨 개인홈페이지를 신고했다. 그는 A씨의 개인홈페이지에서 휴대폰 개인정보를 유출하고 있다는 서신을 KISA에 보냈고, KISA측은 이를 확인하고 서울지방경찰청 사이버수사대에 수사를 의뢰하게 됐다. 

사이버수사대는 25일 피의자 신분으로 A씨를 소환해 해킹과 개인정보 무단유포 등의 혐의로 조사를 실시했다. 물론 그 뒤 B씨도 참고인 자격으로 조사를 받았고 A와 B씨의 PC는 압수된 상태다.

◇LG텔레콤 고객정보보호 관리 허술 드러나=문제는 여기서 부터다. A씨는 “엠샵이라는 사이트가 오픈된 2007년 9월부터 지금까지 LG텔레콤의 가입자 정보가 그대로 노출되고 있었다는 자체가 더 큰 문제”라며 “확인결과 KTF나 SKT와 같은 타 통신사의 정보는 노출되지 않았고 LG텔레콤의 가입자 정보만 노출된 것”이라고 밝혔다.

또 “경찰은 이것을 불법해킹이라고 주장하지만 해킹이 아니라 원래 노출되어 있던 정보를 링크해놓은 형태일 뿐”이라며 “가입 고객정보를 누구나 볼 수 있도록 방치한 LG텔레콤에 근본적인 잘못이 있다”고 덧붙였다.

이와 관련 모 정보보호 전문가는 “엠샵이 LG텔레콤의 CP(컨텐츠 제공자)였다면 LG텔레콤은 당연히 공개될 수 있는 정보(휴대폰의 해상도 정보, 컬러수, 화음정보 등) 이외에 주민등록번호나 무선인터넷 아이디, 가입일 등과 같은 개인정보는 암호화하든지 차단했어야 했다”며 또 “정보가 유출되고 있다는 사실을 그때까지 모르고 있다가 경찰조사가 시작된 시점에서야 차단조치를 내린 것은 LG텔레콤이 개인정보 관리를 제대로 하지 않았다는 증거”라고 지적했다.

◇LG텔레콤, 경찰에 허위진술했다?=또 하나 논란이 되고 있는 점은 LG텔레콤이 경찰조사에서 허위사실을 진술했느냐는 점이다.

이에 대해 A씨는 “7년 전, LG텔레콤에서 아웃소싱으로 잠시 일을 한 적이 있다. 하지만 개인정보와 관련된 업무와는 완전 무관한 업무였다”며 “그럼에도 불구하고 LG텔레콤측이 경찰에 제출한 진술서를 보면 개인정보와 관련된 업무를 했다고 진술하고 있다”고 주장했다.

경찰은 A씨가 당시 개인정보 관련 업무를 담당하면서 LG텔레콤의 개인정보를 빼내 이를 이용해 정보공개를 하려 했다고 몰아가고 있는 분위기다. 이 부분은 좀더 철저한 조사가 이루어져야 할 것으로 보인다. 만약 LG텔레콤이 허위사실을 말했다면 비난을 면치 못할 것으로 보인다.

◇엠샵, LG텔레콤 가입자정보 노출사실 알고 있었나?=또 하나는 ‘엠샵’이라는 사이트에 대한 문제다. 일반적인 기업들은 URL에 ‘co.kr’ 혹은 ‘.com’을 주로 사용하지만 엠샵은 ‘or.kr’을 사용한다. ‘or’은 주로 공공기관에서 사용하는 URL이라고 볼 수 있다. A씨는 모 대학에서 운영한 사이트로 추정하고 있다.

거기까진 좋다. 모 대학에서 운영한 사이트였다면 사이트 개발자가 과연 LG텔레콤의 가입자 정보가 노출되고 있다는 사실을 과연 몰랐을까란 문제가 대두된다.

개발분야에 오래 몸담은 전문가들은 대부분 “말도 안된다. 그렇게 간단한 사실을 개발자가 몰랐다는 것은 있을 수 없다. 틀림없이 알고 있었을 것이다. LG텔레콤의 가입자 정보가 그대로 노출되는 것을 알고 있었으면서도 거의 1년여 동안 숨기고 있었다면 이 또한 조사를 받아야 한다”며 “노출이 되는지 안되는지도 모르고 있던 LG텔레콤도 문제지만 이 사실을 알면서도 LG텔레콤측에 알리지 않은 엠샵측도 정상적이라고 볼 수는 없다”고 지적했다. 

또 엠샵이 LG텔레콤 가입자 정보가 노출되는 것을 알았다면 그 정보들을 빼내 달리 사용했을 가능성도 있을 것이라고 유추해볼 수 있다고 지적했다. 이 또한 철저한 조사가 필요한 부분이다.

물론 A씨도 잘못이 없다고는 할 수 없다. 정보유출 사실을 확인했다면 그것을 개인홈페이지에 링크할 것이 아니라 KISA나 경찰청에 바로 신고를 하고 시정이 될 수 있도록 조치를 취하는 방법을 택했어야 한다.

◇경찰의 객관적인 수사 필요...진짜 피의자는 누구?=하지만 가장 큰 문제는 LG텔레콤이 허술하게 가입자 정보를 관리하고 있었다는 점이다. 허술한 보안으로 1년여 동안 CP 사이트에 노출상태로 있었음에도 이를 인지하지 못한 부분에 대한 책임이 따라야 한다. 또 엠샵 사이트 관리자도 이를 인지하고 있었을 것임에도 불구하고 이를 LG텔레콤측에 보고하지 않은 것은 분명 책임소재를 가려야 할 것이다.

이 사건을 알고 있는 정보보호 전문가들은 “경찰의 엄정하고 객관적인 조사가 이루어질 것으로 믿는다. 누가 ‘피의자’가 되어야 하고 누가 ‘피해자’인지 명확한 관계 정립이 다시 되어야 할 것”이라며 “피해자는 정보가 노출된 LG텔레콤 가입자들일 것이다. 그리고 진정한 피의자는 과연 누구일지 서울경찰청 사이버수사대는 곰곰이 따져 봐야할 것”이라고 강조했다.

많은 관계자들이 이 사건에 대해 경찰의 수사결과를 지켜보고 있다. 귀추가 주목된다. 

[길민권 기자(reporter21@boannews.com)] 

 

LG텔레콤, “엠샵은 비영리 사이트...우리는 책임없다”라고 주장

하지만 엠샵은 최근까지 영리적 목적으로 운영된 사이트로 판명

상기 17일 <보안뉴스>는 LG텔레콤의 가입자 정보유출과 관련된 여러 의혹들에 대한 기사를 게재한 바 있다. 이후 여러가지 LG텔레콤 가입자들이 직접 관련된 제보들을 보내오고 있어 이번 정보노출 사건에 대한 LG텔레콤의 명확한 입장표명과 경찰의 엄정하고 객관적인 수사가 이루어져야 할 상황이다.

이번 사건과 관련해 의혹들은 더 늘어나고 있는 상황이며 대기업과 한 개인간의 싸움이 얼마나 개인에게 불리한 것인가를 극명하게 보여주는 사례로 여겨진다.

지금 상황에서 문제가 되고 있는 부분들 몇가지를 다시 짚고 넘어가야겠다.

현재 LG텔레콤은 이 사건에 대해 어떠한 해명이나 공식발표도 하지 않고 있다. 하지만 몇가지 알 수 없는 정황들이 포착되고 있다. 처음 LG텔레콤의 정보를 노출시키고 있었던 ‘엠샵’이라는 사이트에 대해 LG텔레콤측은 “엠샵은 연구목적의 비영리 사이트였기 때문에 거기서 개인정보가 유출된 것은 LG텔레콤의 책임이 아니다”라고 주장하고 있다.

하지만 ‘엠샵’은 폐쇄되기 직전까지 벨소리나 배경화면 등을 판매·서비스하는 분명한 영리목적의 사이트였던 것으로 밝혀졌다. A씨는 “구글 검색을 해보면 엠샵은 문자·벨소리·배경화면 서비스에서 검색상위에 노출되는 사이트로 상당히 유명한 사이트였다”고 밝히고 있다.

특히 엠샵이 ‘or.kr’을 달고서 영리목적으로 운영되었다는 자체도 이해할 수 없는 상황이다. 그리고 그러한 사이트에 LG텔레콤이 가입자 정보를 넘겨줬다는 것도 이해할 수 없는 부분이며 그에 대한 보안조치도 하지 않았다는 것은 더욱 개탄할 일이다.

또 엠샵 사이트가 운영되던 기간 동안 아무런 제재도 없이 개인정보의 핵심인 가입자들의 주민등록번호가 여과없이 노출되고 있었다는 사실에 대해 LG텔레콤은 전혀 몰랐거나 아니면 손을 쓰지 않았다는 것은 확실한 사실이다.

한편 조사결과(참고자료: whoisdomain.kr/whois/?domain=mshop.or.kr), 엠샵이 운영되던 곳은 경북 구미시 산동면에 있는 K대학교 산학협력단인 것으로 밝혀졌다. 산학협력은 벤처기업이나 중소기업들이 학교에 상주하며 학생들과 함께 연구도하고 영리목적으로 사업도 진행하는 곳이라고 할 수 있다.

즉 엠샵은 K대학교 산학협력단에서 서비스하고 있었던 것이며 상당히 유명한 휴대폰 정보 서비스 사이트였고 그리고 이곳에서 2005년 11월 24일(등록일 기준)부터 최근까지 서비스가 이루어졌으며 그 사이 LG텔레콤의 가입자 정보가 아무런 여과도 없이 노출되고 있었던 것으로 파악된다.

LG텔레콤은 엠샵 사이트에 어떻게 정보를 전달했으며 왜 그 정보에 대해 관리를 하지 않았는지에 대한 명확한 설명이 있어야 할 것이다. 또한 그 사실을 경찰에도 진술해야 할 것이다. 옥션은 고객정보를 유출한 것에 대해 욕은 먹고 있지만 이를 숨기지 않고 먼저 발표했다는 점에서 높은 점수를 얻고 있다. LG텔레콤의 현명한 선택이 있길 바란다. 

[길민권 기자] 2008-04-18

<저작권자: 보안뉴스무단전재-재배포금지>

경찰, 중국과 공조수사 펼쳐 명확한 사실 조사 필요

2차 피해 주의...주기적 패스워드 변경 필수!

 

현재 중국 모 사이트 벼룩시장에 ‘옥션과 네이버의 개인회원 아이디를 판매한다’는 광고가 게시되고 있어 논란이 되고 있다. 이렇게 되면 1081만 명의 옥션 정보유출 피해자들이 2차 피해를 두려워해야 할 처지에 놓이게 됐다. 또한 이 사이트에서는 국내 최대 포털인 네이버의 아이디까지 판매한다고 하고 있어 파장이 일파만파로 확산되고 있는 상황이다. 

중국인 혹은 조선족으로 보이는 아이디 'jgjfjff'라는 자는 "네이버아뒤, 옥션아뒤 대량으로 싼가격에 팝니다"라며 자신의 이메일 주소와 전화번호까지 친절하게 명시하고 있는 것을 볼 수 있다. 이 게시물이 올라온 것은 지난 4월 11일이다.(이미지: 이메일과 연락처 일부 삭제처리)

 

또 다른 자로 '룡림'이라는 닉네임을 사용하는 자가 3월 29일 '네이버 아뒤 팝니다...'란 제목으로 "네이버 아뒤팝니다...대량..."이라며 자신의 이메일을 올려놓고 있는 것도 확인할 수 있었다. (이미지: 이메일 일부 삭제 처리)

문제의 이 사이트는 중국에서 운영되고 있는 것으로 상당수 한국과 관련된 사이트들에서 유출된 고객정보를 사고 팔고 있었으며 한국 IP나 계좌번호까지도 거래되는 사이트인 것을 직접 확인할 수 있었다. 

한편, 네이버까지 고객정보가 유출된 것이 사실이라면 이는 네이버만의 문제가 아니라 국가적인 '제2의 인터넷대란'이라고 할 수 있다. 정부와 경찰은 이 사건에 대해 확실한 진상조사를 해야 할 것이다.

모 정보보호 전문가는 "중국 내에서 한국 포털들의 아이디와 패스워드가 팔려나가는 경우가 종종 발생하고 있다"며 "하지만 해킹이라기 보다는 주민등록번호를 이용해 아이디를 생성해 이를 취합해 모 포털 아이디라는 이름으로 판매하는 경우도 많다"고 설명했다.

또 다른 전문가는 "가짜 데이터들도 많이 떠돌고 있다. 네이버 아이디라고 하지만 네이버 아이디인지 아닌지를 확인할 바가 없기 때문에 사기성 데이터들도 많다"며 "이번 사건은 조사를 통해 사실확인이 필요할 것"이라고 밝혔다.

중국 내에서 이렇게 국내 인터넷 이용자들의 개인정보가 많이 팔리고 있는 것은 그만큼 수요가 있기 때문이다. 문제의 심각성에 대해 인터넷 기업들 뿐만 아니라 정부에서도 인지하고 대처해 나가야할 것이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스 무단전재-재배포금지>

☜ 좋은현상으로...