이번에는 SK Telecom과 KT가 주인공이다. 바로 개인정보 유출 보안사고의 주인공들이다. 그리고 이번 사고는 유출된 개인정보가 건당 1~2백원이 아닌 최고 수십만원에 거래가 이루어진 명확한 증거까지 경찰이 확보한 모양이다. 게다가 유출된 개인의 위치정보가 거래되어 사용된 곳이 심부름센터였고 목적은 불륜현장 포착이었다고 하니 어이가 없을 뿐이다. 그런데도 정작 이동통신사는 자신들의 책임이 아니라고 발뺌하는 뻔뻔함까지 보이고 있는 모양이다.
이번 사고에서 유출된 정보는 개인의 위치정보다. 얼마전 미국에서 애플과 구글이 스마트폰 사용자들의 위치정보를 수집하다 손해배상 소송에 휘말리고 소송에서 패소하는 상황까지 연출되었던 바로 그 “위치정보”가 유출되어 건당 최고 수십만원에 거래가 이루어졌다고 하니 자칫 소송에 휘말리면 손해배상 청구도 있을 수 있을 것으로 보인다.
개인 위치 정보의 유출 경위
필자가 IT업계에서 처음으로 직장생활을 하면서 했던 일은 데이터베이스(RDBMS)의 기술지원이었다. 그때는 처음 PCS 서비스가 시작되던 시절이었고 함께 문자메시지(SMS) 서비스가 시작되던 시기였다. 휴대폰에서 보낸 문자메시지는 수신자 휴대폰으로 전송되는 과정에서 이통사의 문자메시지 서버에 저장된다. 그리고 그 문자메시지는 상당히 오랫동안 서버의 데이터베이스에 보관되어 진다. 따라서 서버에 직접 접속하는 엔지니어들은 간단한 데이터베이스 프로그래밍 만으로 문자메시지를 조회해 볼 수 있다. 그 시절 이통사에 기술지원을 갔다가 명령어 뒤에 휴대폰번호만 주어 실행하면 해당 번호로 전송된 문자메시지가 주루룩~~~ 출력되는 것을 보고 어이가 없었던 기억이 있다. (십수년도 훨씬 전 일이다.)
마찬가지로 개인의 위치정보도 이통사의 어느 서버엔가 당연히 저장되어 위치정보 서비스에 활용되어질 것이다. 그리고 이통사 서버 엔지니어 혹은 해당 서버에서 위치정보를 활용하는 앱을 개발하는 엔지니어는 손쉽게 위치정보를 조회할 수 있을 것이 뻔하다.
이위치정보를 사용할 수 있도록 이통사의 협력사에 제공하였을 것이고 그 협력사의 엔지니어가 인터넷을 통해 전화번호만 입력하면 위치를 파악할 수 있도록 응용프로그램을 작성한 것이다. 그리고 이 프로그램을 이용해 “불륜”을 전문으로 추적하는 흥신소에 건당 수십만원을 받고 개인의 위치정보를 팔았던 것으로 경찰 조사결과 드러난 것이다.
개인 위치 정보의 유출은 누구의 책임인가 ?
이통사의 시스템은 철저한 보안속에 운영되지만 이러한 경우 당연히 속수무책으로 당할 수 밖에 없다. 더 나아가 개인의 위치정보가 고가에 거래되는 것을 전혀 알 수 없었던 것이다. 왜냐하면 이번 사고는 외부자의 해킹이 아닌 “내부자의 악의적 정보 유출”에 해당되기 때문이다.
하지만 이통사에서는 “협력사”에서 저지른 사고 이기 때문에 자신들은 책임이 없다고 발뺌하고 있는데 “협력사”에 위치정보를 사용할 수 있도록 “승인”해준 것은 바로 이통사이며 그에 대한 관리적인 책임을 다하지 못하였으므로 이통사에 2차적인 책임이 있는 것이다. 차를 빌려주었고 차를 빌린 사람이 사고를 내면 차를 빌려준 차주에게도 책임을 묻는 것과 같은 이치다.
해킹이나 DDOS 공격보다 더 치명적인 “내부자”의 악의적 공격
이번 사건은 개인정보 중 하나인 실시간 위치 정보를 즉각적으로 현금한 매우 지능적이고 악의적인 보안사고의 좋은(?) 사례다. 게다가 지금껏 발생했던 단순 주민번호, 전화번호와 같은 개인정보가 아닌 아직까지 국내에서는 사례가 없었던 위치정보가 유출되어 불법적으로 사용된 보안 사고 사례다.
또한 외부에서의 공격이나 해킹이 아니라 시스템에 정상적인 접근권한을 갖고 있는 내부 사용자에 의해 발생한 사고라는 점에서 이번 사건은 시사하는 바가 크다. 그것은 바로 서버 자원(파일, 명령어, 서비스 등)에 대한 내부자의 접근 통제가 필요하다는 점이다.
지금껏 보안은 네트워크에 촛점이 맞춰져 있었다. 서버에 접근하기까지의 경로를 통제하면 보안은 끝이라고 여겨져왔다. 하지만 서버에 접근할 수 있는 내부자가 바로 보안 상 가장 심각한 위협이자 취약점이라는 이슈를 이번 사건은 보여주고 있다.