KT 사태 본 해킹수법…지능화·표적화 경향 강해져

[김국배기자] 870만 명의 개인 정보가 새나간 KT 사태를 통해 드러난 해킹 수법은 이전보다 지능화되고 표적화돼 있었다.회사의 IT 인프라로 직접 침투하지 않고 정상적인 경로를 통해 회원 정보를 조회하고 유출했다.

돈이 목적이었던 점도 분명하게 드러났다. 범행을 저지른 최씨는 KT 가입자들의 개인 정보를 빼내 텔레마케팅(TM)에 활용하거나 다른 업자들에게 팔아넘기는 수법으로 3억8천여만 원을 챙긴 것으로 조사됐다.

◆대리점 위장…'정상적 경로' 통해 유출

이번 해킹의 가장 큰 특징은 회사 정보 프로세스의 '허점'을 이용한 지능적인 수법이라는 점이다.

루멘소프트 보안기술연구팀 이종호 연구원은 이번 KT 사태에 대해 "한번에 집중적으로 조회가 일어나지 않고 대리점에서 조회를 하듯 여러 곳에서 '정상적 패턴'으로 조회가 이뤄졌고 조회된 정보도 오랜 기간에 걸쳐 차곡차곡 모아졌기 때문에 관제 시스템 상에서 그것이 해킹이라 파악하기도 힘들었을 것"이라고 분석했다.

실제로 최씨와 해커 일당은 KT 영업시스템에 접속해 일선 대리점에서 고객정보를 요청하는 것처럼 움직였다. 대리점의 경우, KT의 내부 서버에 접근해 정보를 받아볼 수 있다는 점을 악용한 것이다.정상적인 경로를 사용했기 때문에 관제센터에서는 정상적인 '조회 트래픽'으로 간주, 문제를 발견하는 데 애를 먹었다.

또한 해커가 조회 프로그램을 필요로 하는 텔레마케팅(TM) 업체에 개인 정보를 팔면서 해킹마저 분산돼 포착이 늦어진 것으로 파악되고 있다.결국 KT는 5개월 동안 개인정보 유출 사실을 파악하지 못했다.

더불어 해커 일당이 또 다른 TM 업체에 판매한 해킹프로그램에는 악성코드도 삽입돼 있었다. 이를 통해 구매자들이 유출한 개인정보까지 자신들의 서버로 손쉽게 전송받아 취득했던 것이다.

◆사이버테러 아닌 금전적 목적 뚜렷해져

이번 사건의 또 하나의 특징은 과거의 어느 해킹 사고보다 금전적 목적이 뚜렷하다는 점이다.

지난 2011년 농협사태를 비롯, 지금까지 대부분의 대형사건들이 지능형 지속위협(APT)이라는 공통점은 있으나 금전적 목적보다는 '사이버테러형 공격'에 가까웠지만 이번 경우는 목적이 '돈'이었다.

안랩의 한 관계자는 "근본적인 원인은 개인정보가 돈이 되고 이에 따라 이를 노리는 악성 해커가 많아졌기 때문"이라며 "수많은 해커들이 다양한 방법으로 집요하게 기업을 노리고 있고 기업 입장에서는 9번 잘 막아도 1번 실패하면 큰 피해를 입게 된다"고 설명했다.

이번에 유출된 가입일, 기기변경일 등의 정보들은 영업과 직결되는 것들로, 최 씨 등은 해킹 프로그램을 텔레마케팅 업체 7곳에 팔아 넘기기도 했다. 경찰은 이들이 10억 원 넘는 부당이득을 챙긴 것으로 보고 있다.

◆유출된 정보 범위 넓어…보이스 피싱 등 2차 피해 우려

유출된 개인정보의 범위도 넓어졌다. 보이스 피싱이나 게임 아이템 탈취, 사회공학적 해킹 등의 '2차 피해'도 우려되고 있다.

이번에 유출된 개인정보의 종류는 휴대폰 번호, 고객명, 고객 번호, 주민 번호, 단말기 모델명, 가입일, 기기변경일, 요금제, 기본요금, 월정액 합계 등이다. 지난해와 올해 잇달아 일어난 SK커뮤니케이션즈, EBS 등의 대형 유출 사건의 경우 유출 정보가 주로 아이디와 패스워드, 주민등록번호 등 기본정보에 그쳤던 것과 다르다.

루멘소프트 관계자는 "통신사의 경우에는 한 가족이 같은 통신사를 사용하는 일이 많아 가족정보까지 유출될 가능성도 있다"며 "보이스 피싱과 같은 범행을 계획중인 잠재적 범죄자들에겐 가족으로 위장하기 유용한 정보"라고 우려를 표했다.

안랩 관계자는 "원치 않는 서비스의 가입이나 대출 등에 사용되는 등 피해가 발생할 수 있다"며 "전문 디지털 포렌식 서비스 등을 이용해 원인을 파악하고 향후 같은 건이 발생하지 않도록 대비해야 할 것"이라고 조언했다.