기본 콘텐츠로 건너뛰기

LG텔레콤 고객정보유출 사건 - 사이버수사대, 언론, 그리고 LG텔레콤은 무엇을 잘못했나?

얼마전 LG텔레콤의 고객정보가 특정 사이트를 통해서 실시간 조회되는 일이 있었습니다.
사건 초기부터 관심이 있어서 계속 추이를 지켜보고 있었는데, 몇가지 느낀 점이 있어서 이를 정리해보고자 합니다.

사건의 내용을 잘 모르시는 분들은 우선 LG텔레콤 고객정보 유출과 관련된 기사들을 먼저 몇개 읽어보시기 바랍니다.

1. 과연 사이버 수사대의 조사는 정확했나?

구글검색을 해보면 이 사건과 관련한 첫 기사는 4월 21일부터 찾아볼 수 있고, 4월 22일에 TV방송채널을 갖고 있는 YTN에서 사이버수사대의 발표를 인용하여 방송을 내보내면서 온갖 미디어들에서 이 기사를 내보내기 시작했습니다.

하지만 이 뉴스가 나가기 훨씬 전인 4월 17일 정도에 "보안뉴스"에서 해당 사건에 대한 기사를 작성했었습니다. 기사의 내용은 아래의 링크를 참조하세요.

http://www.boannews.com/media/view.asp?idx=9469&kind=3&sub_kind=

개인적으로는 그 이후에 발표된 그 어떤 기사들보다도 가장 문제의 핵심을 잘 짚고 있다는 생각입니다.

초기 경찰의 발표를 인용했던 언론사들의 보도를 살펴보면, 사이버수사대의 발표를 그대로 인용하여

강 씨는 지난달 21일 인터넷에서 이동통신사 서버에 접속할 수 있는 계정을 알아낸 다음 이를 토대로 만든 웹페이지로 LG텔레콤 서버에 접속해 가입자 정보를 빼낸 혐의를 받고 있습니다.

라고 되어 있습니다.

여기서 말하는 "이동통신사 서버에 접속할 수 있는 계정"이라 함은 컴퓨터를 조금이라도 해본 사람은 누구나 서버의 OS 또는 데이터베이스의 id/password 를 의미한다고 보는 게 일반적이고, 마치 이 기사만 보면 서버 자체에 id/password 로 접속을 해서 뭔가를 조작한 것처럼 느껴집니다. '해킹'과 '불법' 의 냄새가 강하게 풍기는 기사이지요.


하지만 사건의 실상은 이렇습니다.  금번에 문제시된 모 대학교 산학협력업체에서 운영하던 mshop.or.kr(지금은 폐쇄됨)에서 자신들의 웹사이트 내에 벨소리 또는 배경그림을 선물할때 필요한 단말기의 컬러 또는 폴리정보를 제공하기 위해 "폰 정보 조회" 페이지를 구성했습니다.

이번 사건 당사자가 개인적인 억울함을 호소하기 위해 만들어놓은 사이트를 살펴보면 그 페이지에 있었던 소스코드(서버프로그램의 소스코드가 아닌 웹브라우저에서 '소스보기'를 통해 확인할 수 있는, 이미 사용자의 브라우저로 전달된 소스코드) 에 대한 정보를 알 수가 있는데, 아래와 같은 형태였다고 합니다.

http://char.ez-i.co.kr/auth/phoneAuth.jsp?returnUrl=http%3A%2F%2Fmshop.or.kr%2Ftelecom%2Fresphoneinfo.jsp&cpId=mivept&pass=mivept&ctn=01XXXXXXXXX&contentType=C

보시면 LG텔레콤에서 CP인증용으로 char.ez-i.co.kr 라는 웹사이트에 phoneAuth.jsp 라는 페이지를 제공하고 있다는 걸 알 수 있습니다. ( ez-i 는 LG텔레콤에서 운용하고 있는 웹사이트입니다 )


그리고 mshop 에서 이 페이지를 호출하면서 "용감하게"  CP용으로 발급된 cpId 와 pass 를 그대로 GET 으로 전송해서 호출을 하고 있지요.

returnUrl 이라는 파라메터가 있는 걸로 봐서 이 phoneAuth.jsp 라는 페이지는 넘겨받은 파라메터로 고객정보를 조회한 다음 returnUrl 로 그 결과를 넘겨주리란 걸 짐작할 수 있습니다.

암호화된 POST 방식 또는 쿠키 등으로 넘겨줄 것이라 예상하는게 일반적이고 또 당연하겠지만 사건 당사자가 밝힌 해명글이나 화면캡처, 동영상을 보면 어처구니 없게도 LG텔레콤도 대담하게 고객정보를 암호화되지 않은 상태로 GET 형태로 붙여서 돌려주고 있었던 겁니다.

<<그들(?)은 용감했다!!!, 파라메터로 넘겨준 URL로 암호회되지 않은 정보를 그냥 퍼다 날라주고 있는 모습>>

위에서 두가지 문제점을 지적할 수가 있는데,

첫번째는 LG텔레콤이 제공한 고객인증용 페이지가 해당 id/pass 를 발급해준 CP로부터의 정상적인 IP 접속인가에 대한 체크가 전혀 없었다는 점이고,

둘째 CP에서 LG텔레콤이 제공해준 페이지를 호출하면서 id와 password 를 그대로 노출시켰다는 점입니다. (LG텔레콤에세 제공해준 인터페이스가 GET방식만을 제공했는지 아닌지의 여부는 확인할 수가 없었습니다)

이렇게 페이지를 호출한 CP도 문제지만 넘어온 return URL에 고객정보를 암호화 없이 GET방식으로 붙여서 호출해 주는 형태의 구현 자체는 변명의 여지가 없는 명백한 LG텔레콤의 실수입니다. 게다가 서비스 자체에 전혀 불필요한 주민등록번호까지 그대로 넘겨주고 있습니다.

LG텔레콤에서는 4월중으로 IP필터링 등 관련기능을 개선하겠다라고 하는데, 과연 일주일만에 어느정도까지 보안성을 높일 수 있을지 걱정되는군요. 덩달아 4월말까지 고생하게 될 CP업체의 개발자들분들도...

이야기가 잠시 딴 곳으로 빠졌습니다만, 아무튼 사이버수사대에서 혐의를 두고 있는 부분이 가입자 정보를 빼낸 것에 대한 부분이라면 이 부분은 사이버수사대에서 확실한 물증을 제시해야 할 것이고, 그게 아니라 앞쪽에 있는 정보시스템으로의 불법/고의적인 접속 및 해킹혐의의 부분이라면 최소한 이 부분은 '아니올시다' 라는게 개인적인 생각입니다.



2. 언론보도의 문제점

언론의 보도행태에도 문제가 있다고 보여지는데요, 분명히 초기 발표를 보면 "불구속 입건" 했다고 되어 있습니다.

누군가의 고소 고발 등으로 인해 수사기관에서 그 사건에 사건번호를 붙이게 되면 그걸 "입건" 이라고 합니다. 그리고 이 단계에서는 당사자를 "범인" 이 아닌 "피의자" 라고 부르는게 맞습니다.

당사자가 죄를 인정한 상태도 아니고 재판판결이 난 상태도 아니고, 명백한 물증도 드러나지 않은 상태이지요.

그런데 첫 보도 이후로 이런저런 언론에서 이를 인용 또는 각색하면서 피의자 또는 용의자라는 말 대신 "범인" 이라는 용어를 남발하여 마치 사건에 대해 당사자의 죄가 밝혀진 것처럼 보도를 하고 있습니다.

대한민국은 기본적으로 무죄추정의 원칙을 적용하고 있기에, 최종판결이 나기 전까지는 함부로 "범인" 이라는 말 대신 "용의자" 또는 "피의자" 라는 말을 사용했었어야 한다고 생각합니다.

또한 아무런 조사없이 그대로 경찰의 발표를 인용 또는 부풀려서 보도하는 기사들이 꽤 많이 보였는데, 나름대로 전문성을 갖고 있는 zdnet 이라든지 보안뉴스, 그리고 SBS의 유성재라는 기자분이 작성한 글 ( http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000407815 ) 등을 제외하고는 하나같이 다른 언론사의 기사들을 그대로 퍼담기에 급급할 뿐 진상파악을 위한 노력은 전혀 엿보이지 않았습니다.



3. 사건은폐와 축소에만 급급했던 LG텔레콤, 그리고 뒤이은 공식 사과발표

LG텔레콤은 그 일이 있고나서 판매원들에게 이번 개인정보 유출은 전적으로 해당 CP(Content Provider, 여기서는 mshop을 의미)의 탓으로 돌리라는 내용의 공문을 직원들에게 돌렸다고 합니다.

관련기사 : http://www.zdnet.co.kr/news/internet/hack/0,39031287,39168138,00.htm

또한 사이버수사대에서 발표한 고객정보 유출건수보다 실제 유출건수는 적다고 주장하면서 고객 중 일부는 주민등록번호의 앞자리 또는 뒷자리만 노출되었다고 주장하고 있습니다만, 이는 앞에서 확인한 고객정보 연동 구조상 책임회피의 성격이 강해보미며 고객주민번호는 100% 모두 노출되었을 가능성이 매우 크다고 보여집니다.


이 글을 어제 작성하다가 마무리를 하지 못했었는데, 오늘 LG텔레콤이 자사의  홈페이지를 통해  공식적인 사과발표를 했더군요.
LG텔레콤 같은 대기업이 자신의 잘못을 스스로 인정하기는 쉽지 않았을거라 여겨집니다만, 뒤늦게나마 그 누구의 핑계도 대지 않고 공식적으로 사과문을 발표한 용기있는 행동에 박수를 보내봅니다.



정리하며...

피의자가 전혀 잘못한 것이 없다고는 이야기할 수 없습니다. 그런 헛점을 알았다면 관련기관 또는 해당업체에 그 내용을 먼저 제보해서 고객정보의 유출을 막을 수 있었으면 정말 좋았을 것입니다.
최소한 웹이라는 공개된 곳에 아무런 접근권한에 대한 제한 없이 페이지를 노출하지도 말았어야 했겠지요.

하지만 저도 개발자이니만큼 최소한 이번 사건을 통해서 "한 프로그래머가 대기업의 잘못을 은폐하기 위한 재물로써 사이버경찰과 언론에 던져져 희생양이 되는" 일만큼은 없었으면 합니다.

옥션이 뚫리고 DAUM이 뚫리고, LG텔레콤 고객정보가 무방비로 웹에 노출되고, 청와대에서도 정보가 뚫렸니 어쩌니 하고 아우성이고, 하나로통신의 전 대표이사와 임원들은 고객정보를 통째로 팔아먹었답니다.

"개인정보 유출 대란" 이라고까지 할 수 있는 이번 일련의 사건등을 디딤돌로 삼아 대한민국이 좀 더 튼튼한 보안강국으로 거듭날 수 있었으면 좋겠군요.

댓글

이 블로그의 인기 게시물

2011년 경부고속도로 버스전용차로 시간대 변경 + 기타 자동차관련

현재 경부고속도로 버스전용차선이 평일은 오전 7시부터 오후 9시까지, 토/공휴일은 오전 9시부터 오후 9시까지인가 운영되고 있는걸로 알고 있습니다만, 2011년 1월 1일부터 이게 바뀌어서 평일/주말 할 것 없이 오전 7시부터 오후 9시까지 운영됩니다.외우기 쉬워서 좋아졌다고 해야 하나... -_-;; 아무튼 그렇습니다. 네네.설/추석 명절때 운행되던 버스전용차선 시간제도 새벽1시부터 7시까진가? 끝나는 시간대는 정확히 모르겠네요.그 외 올해 자동차 관련된 변경사항 몇개가 있어 함께 정리합니다.1. 경차 소유자에 대한 연간10만원의 유류세 환급이 2년 연장되어 2012년까지 제공됩니다. 방법은 기존과 동일한 듯.2. 자동차 전용도로에서 뒷자석 탑승자가 안전벨트를 착용하지 않으면 범칙금 3만원.(자동차 전용도로라 함은 자동차만 다닐 수 있는 최고시속 90km/h 이하의 도로, 올림픽 대로/강변북로/남부순환로/양재대교/서부간선도로/분당내곡도시고속화도로 등등...)3. 날씨에 따른 제한속도 변경(이르면 7월부터 시행예정)현재 도로를 보면 비오면 20% 감속하고 눈오면 50% 감속하고 어쩌고 하는 규정이 있습니다. 네... 대부분의 운전자는 이걸 지키긴 하는데 칼같이 지키는 사람은 없는 것 같고, 고속도로 100km 달리던 사람이 비오면 90km정도로 달리는 정도? 인데 이걸 경찰청에서 날씨에 따라 자동으로 제한속도가 변경되고, 표지판 숫자도 바뀌는 ‘가변제한속도 제도’를 도입하기로 하고 이르면 오는 7월부터 시행예정이라고 합니다.왠지 이렇게 되면, 과속단속 카메라도 자동으로 이 정보에 따라서 과속단속 기준속도를 바꿀 것 같다는 느낌인데.. 어느 지역에서 지금 현재 비나 눈, 또는 안개가 끼이는지 어떻게 정확하게 알고 그걸 단속할 수 있을지 좀 걱정이군요. 예를 들어 터널 A를 지나기 전에는 눈이 오고 있었는데 터널 A를 지나고 나니 도로상태가 아주 양호하더라.. 라는 식이 되면 터널 A전에 있던 카메라는 시속 100km기준으로 50km/h 넘으면 단속되고, 터널 …

한국에서 미국으로 이주시 준비사항(이민/장기출장/기타등등)

아래 내용은 제가 올해 3월에 한국에서 미국 캘리포니아로 이사하면서 만들었던 체크리스트를 약간 손 본 겁니다. 원래는 같이 옮겨오던 직장 동료들과 만들었던 까페에 올렸던 건데 대부분 이사를 완료한 관계로 까페를 폐쇄 예정이라 정보저장/공유를 위해 가져왔습니다.

자동차 관련
* 경찰서(파출소 말고) 가서 영문으로 된 운전경력증명서. 미국 자동차 보험 가입할 때 할인혜택 있음.
* 대학/대학원 전공이 공학(Engineering) 이 들어가 있으면 대학졸업증명서 영문서류 준비.  캘리포니아에서 자동차 보험 가입시 "Engineer" 가 들어간 졸업증명서면 엔지니어 그룹 힐인이 있음.
* 한국에서의 자동차보험 가입증명서(영문)(가입했던 모든 보험사로부터 )
->위 3개로 가입하면 최대 캘리포니아에서 3~4년 운전한 사람이 받는만큼의 할인혜택이 가능한 경우도 있다고 함. 보험사에 따라서 한국운전경력 인정 안해주는 곳도 있음.

* 카페 및 인터넷 검색해서 캘리포니아 운전면허 필기시험 문제 출력 및 공부. 캘리포니아에서는 한글 필기시험을 볼 수 있습니다. 다만 인터넷에 떠도는 문제지의 답이 틀리게 표시된 경우가 많기 때문에 가장 정확하게는 현지에 도착한 이후 DMV에서 무료로 배포하는 운전자핸드북(한글버전 있음)으로 공부를 하거나 혹은 dmv.ca.gov 에서 pdf를 다운로드 받아 이론공부를 좀 하는게 좋습니다.
* 운전면허시험장 가서 국제운전면허 발급받을 것. 캘리포니아 면허 따기 전까지 항상 소지해야 하지만 사실상 이건 한국운전면허의 번역본 개념이라 항상 한국운전면허증/여권 같이 소지할 것.
* 차량 구입예정이면 미리 edmunds.com, truecar.com, kbb.com, carmax.com(중고차) 등에 들러 온라인으로 몇군데 최저 금액을 부르는 들러의 quote를 받아두고, 연락처 챙겨둘 것. down payment할 금액도 챙겨두기. 매월 판매조건 등이 달라지기 때문에 차종만 선택해 놓고 현지에 와서 딜하는게 차라리 더 …

개발자, 영어,  그리고 해외취업. 글쎄 과연 그렇게 호락호락할까?

오랜만에 포스팅하는 글이 영어 관련 쓸데없는 뻘글이라 좀 그렇지만, 페이스북에 적기 시작한 글이 너무 길어져서 블로그에 포스팅하기로 함.


미국에 2011년에 넘어왔으니까 올해로써 이제 미국생활 4년차 들어간다. 처음에 왔을때는 4년정도 여기 있으면 영어는 잘 하겠지라고 했는데 웬걸, 확실히 영어 울렁증은 없어지고 최소한 내가 지금 하려고 하는 말들이 100% 실시간으로 나오긴 하지만 여전히 그 수준은 내가 한국어를 구사하는 수준은 아닌지라 한 단어로 표현이 가능한 복잡미묘한 명사나 동사를 표현하기 위해 쉬운 단어들 몇개를 합쳐서 빙빙 둘러서 설명을 하는 그런 수준. 관심사인 부동산이라든가 게임이라든가 최신개봉 영화 뭐 이런 이야기들은 곧잘 하고 농담따먹기도 잘 하지만, 여전히 미국 문화의 베이스가 없으면 이해하기 어려운 내용들이 많다. 당연히 깨알같은 문법 실수와 관사 생략은 기본.

작년인가 재작년인가 부터 부쩍 한국쪽 개발 커뮤니티나 컨퍼런스에 보면 개발자와 영어를 관련시킨 발표가 많아졌다. 어떤 사람들은 본인의 해외 어학연수 경험을 공유하기도 하고 또 어떤 사람들은 오픈소스 활동 경험을 공유하기도 하고.. 아무튼 기본적으로는 실력만 있으면 영어를 못해도 해외에서 개발자로 일하는데 전혀 문제가 없다라는 글들도 보인다.

물론 미리 겁 집어먹고 도전을 안하는 것도 바람직하진 않겠지만, 글쎄 과연 실력만 있으면 정말 괜찮을까? 개발자로써 상위 10%정도의 실력이라 코드로 진짜 모든 걸 말할 수 있는 수준이라면 가능하다고 생각한다. 영어 관련 개발자 포럼의 글들 보면 그런 댓글들이 많이 보인다. 개발자는 코드로 말한다고. 근데 스스로 그런 수준인가 하는 건 다시 한번 생각해 볼 일이다. 보통 개발자들이 자기는 다른 개발자보다 좀 더 특출나다고 생각하는 경향이 많은데(여기에는 나 자신도 포함되는 듯), 좋든 싫든간에 그들 중 90%는 상위 10%가 아니니까.
바다 건너 이억만리에서 인터넷으로 버그 수정하고 코드 커밋하고 이메일로 비실시간 대화를 할 수 있는 오픈소스…