2016.3.7 월 12:18
> 뉴스 > 기획/특집 > 특집
   
[이슈분석]KT홈페이지 단순 해킹 도구에 뻥 뚫려
2014년 03월 07일 (금) 13:28:22 김인순 insoon@etnews.com

KT홈페이지는 인터넷 검색을 할 수준의 기초적인 지식만 있으면 손쉽게 다운로드할 수 있는 대중적인 웹 해킹 도구에 뚫렸다. 특히, 1년에 걸친 장기간 동안 고객 정보가 대량으로 유출됐지만 전혀 몰라 KT의 허술한 정보보호 시스템이 도마에 올랐다.

인천지방경찰청 광역수사대가 조사해 발표한 KT 고객센터 해킹 프로그램은 ‘파로스’로 나타났다. 이 프로그램으로 해커 일당은 1200만명의 고객 정보를 빼내 휴대폰 판매 등에 활용하면서 100억원대 부당 이득을 취득했다.

이번 해킹에 쓰인 ‘파로스’는 구글 검색으로 누구나 찾아 단 2분 만에 설치까지 가능한 프로그램이다. 웹 프록시 프로그램의 일종으로 웹 사이트에 대한 취약성 분석은 물론이고 웹 해킹 도구로 활용된다. 건전하게 활용될 수도 있고, 악용될 수 있는 양날의 검인 셈이다.

파로스는 사용방법이 쉬우며 많은 기능을 제공해 대중적으로 사용된다. 파로스는 웹 서버와 클라이언트 사이에 위치해 HTTP와 HTTPS 데이터를 가로채거나 수정할 수 있다. 경찰발표에 따르면 해커는 파로스를 이용해 신종 해킹프로그램을 개발했다.

한 보안전문가는 “해커가 KT홈페이지 보안 취약점을 파악해 장기적으로 개인정보를 유출한 것”이라고 분석했다. KT홈페이지에서 취약한 부분을 파악하고 한꺼번에 대량으로 정보를 빼내면 발각될 우려가 높아 오랜 시간 들키지 않게 조금씩 정보를 빼돌렸다. 치밀하게 계획한 정황이다.

최운호 유엔난민기구 최고정보보호책임자는 “국내 IT기업을 대표하는 KT가 1년여 동안 홈페이지 보안 관리를 허술하게 한 것이 그대로 드러나는 대목”이라며 “한 달에 한번 적어도 분기에 한 번 모의 해킹이나 취약점 분석이 이뤄지지 않은 것으로 보인다”고 말했다.

최경철 트리니티소프트 연구소장은 “파로스는 본래 웹 취약점 분석 도구로 쓰이는데 홈페이지에 이 프로그램이 접근했다면 사전에 징후를 파악할 수 있다”며 “홈페이지에 대한 주기적인 분석과 보호가 부족했을 것으로 보인다”고 설명했다.

이번 사건은 해킹 블랙 시장이 확산되고 있다는 점에서 심각성을 더했다는 평가다. 최근 해킹은 산업으로 성장할 정도다.

그동안 해킹은 개인정보를 빼내 정보를 판매하는 경우가 대부분이었지만, 이번에는 빼낸 정보로 휴대폰 개통과 판매 영업에 직접 활용한 것도 눈여겨 볼 대목이다. 조직 폭력배나 범죄 집단이 해커를 고용해서 직접 범행을 목적으로 정보를 빼낼 수 있다는 것이다.

성재모 금융보안연구원 정보보안본부장은 “블랙 빅 데이터(Black Big Data)라 불리는 해킹 블랙 마켓이 급속히 성장하고 있어 주의가 요구된다”고 말했다.

김인순기자 insoon@etnews.com

     관련기사
· [정보보호]카드사 정보유출, 2라운드 진입...`관리소홀, 유통여부` 최대 쟁점· 금융업 해킹 피해율, 타 업종 대비 `더블`
김인순의 다른기사 보기  
ⓒ 보안닷컴(http://www.boan.com) 무단전재 및 재배포금지 | 저작권문의  

     
이 기사를 추천하시면 "오늘의 좋은 기사" 랭킹에 반영됩니다   추천수 : 0
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)

양승조 의원 "사물인터넷 보안 철...
<양승조 새정치민주연합 의원과 정진홍 한국ICT융합보안협회 회장 등 관계자들이 정책세미나 시작에 앞서 ...
[보안칼럼]IoT 산업의 미래, ...
모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어...
[2014년 10대 뉴스]한수원 ...
고리와 월성 등 국내 주요 원자력발전소 제어시스템 설계도가 해킹된 후 웹에 공개되는 사상 초유의 사건이 발생...
[단독]이달초 한수원 업무망PC ...
원자력발전소 도면 등 주요 자료 유출사고로 홍역을 치르고 있는 한국수력원자력(한수원)의 그간 정보보호 체계가...
[정보보호]IoT 보안 이슈 ...
급성장하는 사물인터넷(IoT)시장의 보안기술을 한자리에서 보는 행사가 열...
[정보보호]SOPT `빅데이터...
안랩, 15일 코엑스서 ‘안랩...
[정보보호]제9회 POC201...
한국침해사고대응팀협의회 제주서...
한국해킹보안협회, 10월 7일...
안랩, 금융정보보호 콘퍼런스서...
사이트 소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부