KT "980만 해킹사건 행정처분 안된다"...반박은 무엇?

방통위 사무국 "KT의 기술적보호조치 미흡이 해킹사건으로"
KT "일부 미비했지만, 해킹과 인과관계 없다"..행정처분 반대

등록 2014-06-19 오후 3:09:46

수정 2014-06-19 오후 5:35:14
가 가

[이데일리 김현아 기자] KT 고객 980만 명 해킹 사건에 대해 방송통신위원회(위원장 최성준)가 19일 전체 회의에서 행정처분을 하려하자, KT는 법상 정해진 정보보호 기술적 조치를 완벽하게 소화하지는 못했지만 해킹사고와 관련 없다면서 행정처분 대상이 아니라는 입장을 밝혔다.

도덕적으로는 죄송하지만 불가항력이었던 만큼, 과징금을 부과받을 일은 아니라는 의미다.

이에 방통위는 추가 간담회 이후 최대한 다음 주, 아무리 길어도 2주 안에 전체 회의를 열고, KT에 과징금 부과 여부 등을 결정할 예정이다.

방통위 사무국 “KT의 기술적 보호조치 미흡이 해킹 사건으로 이어져”

방통위 사무국은 KT의 요금조회 홈페이지(마이올레)와 포인트 조회 홈페이지(올레클럽 및 올레) 등을 조사한 결과, 정보통신망법 중 접근통제 및 암호화 기술 미비 등 개인정보보호 규정을 위반한 사실을 확인했다고 밝혔다.

마이올레 홈페이지는 △해커가 요금명세서 조회를 위해 고객서비스계약번호를 입력했는데 본인일치 여부 인증단계가 없고(망법 28조1항 2호 접근통제 위반)△특정인이 1일 최대 34만 1279건 개인정보 조회했으나 탐지 못했으며(역시 접근통제 위반)△명세조회 시 불필요한 개인정보를 포함했다면서 개선을 권고했다.

올레클럽 홈페이지는 △사내 망이 아닌 외부 인터넷망으로 접속가능했고(역시 접근통제 위반)△사용중지된 퇴직자 ID로 총 2753번 접속해 8만 3246건의 개인정보를 조회했으며(역시 접근통제 위반), 개인정보 암호화 관련 암호기술도 적용하지 않았다(망법 제1항 4호 위반)고 밝혔다.

KT가 유선고객의 개인정보를 보관하는 유선계 데이터데이스 역시 DB내 396만9923건 주민번호를 평문으로 저장(망법 28조1항 4호 암호화기술 등을 이용안 보안조치 위반)했다고 밝혔다.

오남석 이용자정책국장은 “각각의 위반사실에 대해서는 KT도 인정한다”면서 “다만 (행정처분을 하려면) 이번 해킹사건과 기술적 조치 미흡의 인과관계가 인정돼야 한다”고 밝혔다.

하지만 그는 “우리는 해커가 (타인의 명세표 조회) 화면을 띄운 것 만으로도 개인정보 유출로 본다”면서 “당장 금전적 이익을 얻지 않아도 화면을 찍어둔 걸 나중에 유통시키면 이 역시 부당이득”이라고 말했다.

정현철 한국인터넷진흥원 침해사고분석단장도 “(해커가) 일일 최대 동일 IP(인터넷주소)로 일일 최대 34만 건(초당 3.94회)의 트래픽을 날렸는데, (KT에) 하루에 가장 많이 들어오는 IP 10개를 관제하는 정책 등만 있었다면 충분히 막을 수 있었다”고 지적했다.

▲방통위 사무국이 확인한 KT의 개인정보보호 규정 위반 사실

KT “일부 미비했지만, 해킹과 인과관계 없다”..행정처분 반대

KT에서는 박종욱 상무, 김앤장의 김진한 변호사, 김만식 상무보, 김병주 팀장이 피심의인으로 참여했다.

KT 측 법률대리인인 김진한 변호사는 먼저 미국이나 유럽보다 강한 우리나라의 개인정보 관련 규제를 언급했다.

그는 “심지어 미항공우주국(NASA)에서도 해킹사고가 발생할 정도로 완벽한 시스템은 없음에도, 우리나라는 기술적 관리적 보호조치 위반시 행정처분을 명문화한 이례적인 나라이니, 시행령 규정은 명백하고 엄격하게 해석돼야 한다”고 전제했다.

이어 김 변호사는 △방통위 사무국이 밝혀낸 마이올레 사이트의 파라미터 변조 방지 조치 미흡은 추가 인증에 대해 고시 규정이 없고 △마이올레 웹사이트는 법상 정의에 해당하는 개인정보 시스템이 아니라고 반박했다.

또 △마이올레와 마이클럽 모두 망법 고시의 해설서에 따라 국정원에서 인증받은 침입방지시스템(IPS)을 썼기 때문에 위반으로 볼 수 없고 △해커가 일 평균 34만 건의 트래픽을 날린 부분을 탐지 못한 것 역시 망법의 기술기준 고시 상 어떤 수준으로 해야 하는 지 정해져 있지 않다고 주장했다.

김 변호사는 “단순한 조회는 개인정보 유출이 아니라는 것은 서울지방법원 판결도 있었다”면서 “해당 퇴직자(홍길동)의 아이디로 해커가 접근했다고 하더라도 그가 정말 홍길동인지 아는 데에는 이 아이디가 쓰이지 않았다”고 부연했다.

박종욱 상무는 “(해커가 쓴) 파로스 프로그램과 파라미터 변조가 많이 알려진 것은 사실이나, KT 내부 시스템의 취약점을 몰랐다면 불가능했을 해킹”이라면서 “단순한 초보자가 아니라 전문가이며, 우리는 지능형지속가능(APT) 공격과 버금가는 것으로 본다”고 말했다.