케이티(KT) 올레(olleh)닷컴 홈 페이지를 해킹하여 1,600만명의 고객 정보 중 1,200만명의 개인정보를 유출한 해킹범과 유출된 정보를 이용하여 휴대폰 개통 및 판매 영업을 한 텔레마케팅 업체가 적발되었다는 소식입니다.
▷ <연합뉴스> KT 홈페이지 해킹…1천200만명 개인정보 털렸다 (2014.3.6)
▷ <데일리시큐> KT 홈페이지 해킹...1천200만명 고객정보 유출 당해 (2014.3.6)
이번 개인정보 유출 사고는 2013년 2월부터 최근까지 지속적으로 홈 페이지 해킹을 통해 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 계좌 번호 등과 같은 개인정보 유출이 이루어졌으며, 수집된 개인정보는 텔레마케팅 업체를 통해 영업에 이용되어 115억원의 매출을 기록한 것으로 알려져 있습니다. 또한 유출된 개인정보 중 500만건은 휴대전화 대리점으로 2차 판매가 이루어졌습니다.(※ 2차 판매와 관련된 보도는 오보라고 합니다. 실제 자신들이 운영하는 3곳의 대리점 영업에 사용되었다고 합니다.)
▷ KT 해킹을 통한 휴대전화 고객 정보 유출 사고 (2012.7.29)
KT 해킹을 통한 개인정보 유출 사고는 2012년 7월경에도 발생하여 800만명 넘은 고객 정보가 유출된 적이 있으며 아직 1심 재판 결과가 나오지도 않은 상태인데 또 다른 고객 정보 유출 사고가 발생한 것입니다.
공개된 정보에 의하면 이번 해킹 방식은 HTTP/HTTPS 프락시 기반 웹 응용 프로그램 및 웹 사이트 취약점 평가 프로그램인 파로스(Paros)를 이용하여 올레닷컴 홈 페이지에 로그인을 통해 이용요금 조회 서비스의 명세서 고유 번호 9자리를 무작위로 대입하여 정보를 수집한 것으로 알려져 있습니다.
기본적으로 홈 페이지에서 제공하는 요금 조회 서비스를 외부에서 무작위 대입법을 통해 정보를 탈취할 수 있도록 허용하였다는 것은 KT의 허술한 보안 기술에 문제가 있다고 보이며, 특히 1년간 지속적으로 정보가 유출되고 있는 것을 인지 못한 점은 문제가 커 보입니다.
현재 업체에서는 아직까지 개인정보 유출 조회 서비스는 제공하지 않고 있으므로 현재는 올레닷컴 홈 페이지 고객의 경우에는 1차적으로 비밀번호 변경을 하시길 권장합니다.
Update : 올레 뮤직(olleh music) 개인정보 유출 추가 확인 (2014.3.7)
▷ <SBS 뉴스> KT '올레 뮤직'도 해킹 당했다…설계부터 '허술' (2014.3.7)
KT 올레닷컴 해킹 사고를 조사하는 과정에서 해커는 2013년 2월~7월까지 올레 뮤직(olleh music) 웹 사이트에서 50만명의 회원 정보(이름, 주민등록번호, 휴대전화번호 등)을 유출한 후 추가적인 정보가 필요해서 올레닷컴 해킹이 이루어졌다고 진술한 것으로 확인되었습니다.