KT(030200)가 고객 개인정보 관리의 허술함을 또 드러냈다. 이번 해킹은 2012년 3월과 같은 해 7월에 이어 세번째다. 해킹은 2013년 2월부터 시작됐지만, KT는 홈페이지에서 개인정보가 새고 있다는 사실을 1년이 넘도록 전혀 몰랐다.
KT는 2012년 3월 3월에도 SK텔레콤(017670)과 함께 고객정보 20만여건이 유출되는 해킹사고를 당했다. KT와 SK텔레콤 협력회사 직원들은 위치정보 조회 서비스의 유지업무를 하면서 개인정보 조회 프로그램을 만들었고 19만8000여건에 이르는 개인의 위치정보를 빼돌렸다. 통신사들은 경찰이 범행 사실을 통보하기 전까지 위치정보가 유출된 사실을 모르고 있었다.
KT는 같은 해 7월에도 전문 해커의 공격을 받아 870만명의 개인정보가 유출됐다. 당시 KT는 해킹재발을 방지하기 위한 대책을 발표했다. 그러나 KT가 이러한 대책을 발표한지 약 6개월만인 2013년 2월 김모씨가 제작한 또 다른 해킹 프로그램으로 KT의 고객센터 홈페이지가 또 털린 것이다.
이번 1200만명 개인정보 유출 사건은 2012년 7월 정보유출 사건때와 크게 다르지 않다. 당시 전문 해커들이 KT고객 영업 시스템을 해킹해 자료를 유출, 텔레마케팅 업체에 판매해 부당수익을 올렸다. KT는 그해 8월 재발 대책을 발표하면서 보안전담조직을 신설하고 해킹 방지 체계를 갖춘 영업시스템을 2013년 3~4분기까지 도입하겠다고 밝혔다. 또 극소량의 정보조회도 실시간 감지하고 분석하는 차세대 모니터링 시스템도 도입하겠다고 밝힌적이 있다.
6일 인천경찰청과 KT에 따르면 전문 해커 김모씨는 자체 해킹 프로그램을 만들어 지난 2013년 2월부터 1년간 KT의 고객센터 홈페이지를 해킹해 1200만명의 개인정보를 유출했다. 경찰 측은 지난 2월 25일 김모씨 일당을 검거했고, KT가 개인정보 관리 의무를 소홀히 했는지에 대해 수사를 확대하고 있다. 경찰 관계자는 “KT측의 보안담당자를 입건해 수사할 방침”이라고 밝혔다.
KT 홈페이지가 2012년 이후 3번째 털리면서, 본인확인 인증기관으로 신뢰성도 크게 떨어지게 됐다. 방송통신위원회는 2012년 12월부터 KT, SK텔레콤, LG유플러스 등 이동통신 3사를 본인확인인증기관으로 지정했다. 통신사들은 아이핀(i-Pin)을 발급하는 신용평가기관처럼 주민등록번호를 대체하는 인증수단을 제공하는 본인확인기관 역할을 하고 있다.
정보통신망법에 따른 본인확인기관으로 지정되면 고객들의 성명, 생년월일, 휴대전화번호 뿐만 아니라 주민등록번호까지 수집할 수 있다. 박경신 고려대 교수는 “통신사들도 인터넷이나 금융회사처럼 개인정보 유출 위험에서 자유롭지 않다”며 “통신사들이 주민번호를 수집하지 못하도록 해야 한다”고 말했다.