4/24/2008

LG텔레콤 고객정보유출 사건 - 사이버수사대, 언론, 그리고 LG텔레콤은 무엇을 잘못했나?

얼마전 LG텔레콤의 고객정보가 특정 사이트를 통해서 실시간 조회되는 일이 있었습니다.
사건 초기부터 관심이 있어서 계속 추이를 지켜보고 있었는데, 몇가지 느낀 점이 있어서 이를 정리해보고자 합니다.

사건의 내용을 잘 모르시는 분들은 우선 LG텔레콤 고객정보 유출과 관련된 기사들을 먼저 몇개 읽어보시기 바랍니다.

1. 과연 사이버 수사대의 조사는 정확했나?

구글검색을 해보면 이 사건과 관련한 첫 기사는 4월 21일부터 찾아볼 수 있고, 4월 22일에 TV방송채널을 갖고 있는 YTN에서 사이버수사대의 발표를 인용하여 방송을 내보내면서 온갖 미디어들에서 이 기사를 내보내기 시작했습니다.

하지만 이 뉴스가 나가기 훨씬 전인 4월 17일 정도에 "보안뉴스"에서 해당 사건에 대한 기사를 작성했었습니다. 기사의 내용은 아래의 링크를 참조하세요.

http://www.boannews.com/media/view.asp?idx=9469&kind=3&sub_kind=

개인적으로는 그 이후에 발표된 그 어떤 기사들보다도 가장 문제의 핵심을 잘 짚고 있다는 생각입니다.

초기 경찰의 발표를 인용했던 언론사들의 보도를 살펴보면, 사이버수사대의 발표를 그대로 인용하여

강 씨는 지난달 21일 인터넷에서 이동통신사 서버에 접속할 수 있는 계정을 알아낸 다음 이를 토대로 만든 웹페이지로 LG텔레콤 서버에 접속해 가입자 정보를 빼낸 혐의를 받고 있습니다.

라고 되어 있습니다.

여기서 말하는 "이동통신사 서버에 접속할 수 있는 계정"이라 함은 컴퓨터를 조금이라도 해본 사람은 누구나 서버의 OS 또는 데이터베이스의 id/password 를 의미한다고 보는 게 일반적이고, 마치 이 기사만 보면 서버 자체에 id/password 로 접속을 해서 뭔가를 조작한 것처럼 느껴집니다. '해킹'과 '불법' 의 냄새가 강하게 풍기는 기사이지요.


하지만 사건의 실상은 이렇습니다.  금번에 문제시된 모 대학교 산학협력업체에서 운영하던 mshop.or.kr(지금은 폐쇄됨)에서 자신들의 웹사이트 내에 벨소리 또는 배경그림을 선물할때 필요한 단말기의 컬러 또는 폴리정보를 제공하기 위해 "폰 정보 조회" 페이지를 구성했습니다.

이번 사건 당사자가 개인적인 억울함을 호소하기 위해 만들어놓은 사이트를 살펴보면 그 페이지에 있었던 소스코드(서버프로그램의 소스코드가 아닌 웹브라우저에서 '소스보기'를 통해 확인할 수 있는, 이미 사용자의 브라우저로 전달된 소스코드) 에 대한 정보를 알 수가 있는데, 아래와 같은 형태였다고 합니다.

http://char.ez-i.co.kr/auth/phoneAuth.jsp?returnUrl=http%3A%2F%2Fmshop.or.kr%2Ftelecom%2Fresphoneinfo.jsp&cpId=mivept&pass=mivept&ctn=01XXXXXXXXX&contentType=C

보시면 LG텔레콤에서 CP인증용으로 char.ez-i.co.kr 라는 웹사이트에 phoneAuth.jsp 라는 페이지를 제공하고 있다는 걸 알 수 있습니다. ( ez-i 는 LG텔레콤에서 운용하고 있는 웹사이트입니다 )


그리고 mshop 에서 이 페이지를 호출하면서 "용감하게"  CP용으로 발급된 cpId 와 pass 를 그대로 GET 으로 전송해서 호출을 하고 있지요.

returnUrl 이라는 파라메터가 있는 걸로 봐서 이 phoneAuth.jsp 라는 페이지는 넘겨받은 파라메터로 고객정보를 조회한 다음 returnUrl 로 그 결과를 넘겨주리란 걸 짐작할 수 있습니다.

암호화된 POST 방식 또는 쿠키 등으로 넘겨줄 것이라 예상하는게 일반적이고 또 당연하겠지만 사건 당사자가 밝힌 해명글이나 화면캡처, 동영상을 보면 어처구니 없게도 LG텔레콤도 대담하게 고객정보를 암호화되지 않은 상태로 GET 형태로 붙여서 돌려주고 있었던 겁니다.

<<그들(?)은 용감했다!!!, 파라메터로 넘겨준 URL로 암호회되지 않은 정보를 그냥 퍼다 날라주고 있는 모습>>

위에서 두가지 문제점을 지적할 수가 있는데,

첫번째는 LG텔레콤이 제공한 고객인증용 페이지가 해당 id/pass 를 발급해준 CP로부터의 정상적인 IP 접속인가에 대한 체크가 전혀 없었다는 점이고,

둘째 CP에서 LG텔레콤이 제공해준 페이지를 호출하면서 id와 password 를 그대로 노출시켰다는 점입니다. (LG텔레콤에세 제공해준 인터페이스가 GET방식만을 제공했는지 아닌지의 여부는 확인할 수가 없었습니다)

이렇게 페이지를 호출한 CP도 문제지만 넘어온 return URL에 고객정보를 암호화 없이 GET방식으로 붙여서 호출해 주는 형태의 구현 자체는 변명의 여지가 없는 명백한 LG텔레콤의 실수입니다. 게다가 서비스 자체에 전혀 불필요한 주민등록번호까지 그대로 넘겨주고 있습니다.

LG텔레콤에서는 4월중으로 IP필터링 등 관련기능을 개선하겠다라고 하는데, 과연 일주일만에 어느정도까지 보안성을 높일 수 있을지 걱정되는군요. 덩달아 4월말까지 고생하게 될 CP업체의 개발자들분들도...

이야기가 잠시 딴 곳으로 빠졌습니다만, 아무튼 사이버수사대에서 혐의를 두고 있는 부분이 가입자 정보를 빼낸 것에 대한 부분이라면 이 부분은 사이버수사대에서 확실한 물증을 제시해야 할 것이고, 그게 아니라 앞쪽에 있는 정보시스템으로의 불법/고의적인 접속 및 해킹혐의의 부분이라면 최소한 이 부분은 '아니올시다' 라는게 개인적인 생각입니다.



2. 언론보도의 문제점

언론의 보도행태에도 문제가 있다고 보여지는데요, 분명히 초기 발표를 보면 "불구속 입건" 했다고 되어 있습니다.

누군가의 고소 고발 등으로 인해 수사기관에서 그 사건에 사건번호를 붙이게 되면 그걸 "입건" 이라고 합니다. 그리고 이 단계에서는 당사자를 "범인" 이 아닌 "피의자" 라고 부르는게 맞습니다.

당사자가 죄를 인정한 상태도 아니고 재판판결이 난 상태도 아니고, 명백한 물증도 드러나지 않은 상태이지요.

그런데 첫 보도 이후로 이런저런 언론에서 이를 인용 또는 각색하면서 피의자 또는 용의자라는 말 대신 "범인" 이라는 용어를 남발하여 마치 사건에 대해 당사자의 죄가 밝혀진 것처럼 보도를 하고 있습니다.

대한민국은 기본적으로 무죄추정의 원칙을 적용하고 있기에, 최종판결이 나기 전까지는 함부로 "범인" 이라는 말 대신 "용의자" 또는 "피의자" 라는 말을 사용했었어야 한다고 생각합니다.

또한 아무런 조사없이 그대로 경찰의 발표를 인용 또는 부풀려서 보도하는 기사들이 꽤 많이 보였는데, 나름대로 전문성을 갖고 있는 zdnet 이라든지 보안뉴스, 그리고 SBS의 유성재라는 기자분이 작성한 글 ( http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000407815 ) 등을 제외하고는 하나같이 다른 언론사의 기사들을 그대로 퍼담기에 급급할 뿐 진상파악을 위한 노력은 전혀 엿보이지 않았습니다.



3. 사건은폐와 축소에만 급급했던 LG텔레콤, 그리고 뒤이은 공식 사과발표

LG텔레콤은 그 일이 있고나서 판매원들에게 이번 개인정보 유출은 전적으로 해당 CP(Content Provider, 여기서는 mshop을 의미)의 탓으로 돌리라는 내용의 공문을 직원들에게 돌렸다고 합니다.

관련기사 : http://www.zdnet.co.kr/news/internet/hack/0,39031287,39168138,00.htm

또한 사이버수사대에서 발표한 고객정보 유출건수보다 실제 유출건수는 적다고 주장하면서 고객 중 일부는 주민등록번호의 앞자리 또는 뒷자리만 노출되었다고 주장하고 있습니다만, 이는 앞에서 확인한 고객정보 연동 구조상 책임회피의 성격이 강해보미며 고객주민번호는 100% 모두 노출되었을 가능성이 매우 크다고 보여집니다.


이 글을 어제 작성하다가 마무리를 하지 못했었는데, 오늘 LG텔레콤이 자사의  홈페이지를 통해  공식적인 사과발표를 했더군요.
LG텔레콤 같은 대기업이 자신의 잘못을 스스로 인정하기는 쉽지 않았을거라 여겨집니다만, 뒤늦게나마 그 누구의 핑계도 대지 않고 공식적으로 사과문을 발표한 용기있는 행동에 박수를 보내봅니다.



정리하며...

피의자가 전혀 잘못한 것이 없다고는 이야기할 수 없습니다. 그런 헛점을 알았다면 관련기관 또는 해당업체에 그 내용을 먼저 제보해서 고객정보의 유출을 막을 수 있었으면 정말 좋았을 것입니다.
최소한 웹이라는 공개된 곳에 아무런 접근권한에 대한 제한 없이 페이지를 노출하지도 말았어야 했겠지요.

하지만 저도 개발자이니만큼 최소한 이번 사건을 통해서 "한 프로그래머가 대기업의 잘못을 은폐하기 위한 재물로써 사이버경찰과 언론에 던져져 희생양이 되는" 일만큼은 없었으면 합니다.

옥션이 뚫리고 DAUM이 뚫리고, LG텔레콤 고객정보가 무방비로 웹에 노출되고, 청와대에서도 정보가 뚫렸니 어쩌니 하고 아우성이고, 하나로통신의 전 대표이사와 임원들은 고객정보를 통째로 팔아먹었답니다.

"개인정보 유출 대란" 이라고까지 할 수 있는 이번 일련의 사건등을 디딤돌로 삼아 대한민국이 좀 더 튼튼한 보안강국으로 거듭날 수 있었으면 좋겠군요.

댓글 없음:

댓글 쓰기

요즘 포스팅을 모두 medium쪽으로 하고 있습니다

안녕하세요? 어쩌다보니 그냥 한번 써보기로 한 medium.com 에다가 죄다 최근 포스팅을 하고 있습니다. 현재 도메인인 potatosoft.com 은 제가 대학때인가 사회 취업한지 얼마 안됐을때부터 유지해 온 도메인이고, 블로그 시스템은 그...