KT 내 주민번호 '줄줄'…본인확인기관도 털렸다

머니투데이

강미선 기자

"개인정보유출을 최소화하려고 정보통신망법을 개정하고 이동통신사를 본인확인기관으로 지정했는데 결국 본인확인기관이 털려 피해만 키웠다."(보안업계 관계자)

1200만명의 고객정보가 유출된 KT (34,500원 ▲400 +1.17%) 홈페이지 해킹사건은 KT가 주민등록번호 수집·이용이 합법적으로 허용된 본인확인기관이라는 점에서 그 심각성이 더 크다.

어느 사업자보다 탄탄한 정보보호 시스템을 갖춰야할 본인확인기관이 해킹에 무방비로 당했다는 지적이다.

6일 경찰과 KT에 따르면 전문 해커 김모씨는 자체 해킹 프로그램을 만들어 2013년 2월부터 1년간 KT의 고객센터 홈페이지를 해킹해 1200만명의 개인정보를 유출했다. 빠져나간 개인정보에는 이름, 휴대전화번호, 집주소, 직업, 은행계좌 뿐만 아니라 주민등록번호도도 포함됐다.

2012년2월18일 개정 정보통신망법 시행으로 인터넷에서는 주민번호를 수집·이용할 수 없지만 KT (34,500원 ▲400 +1.17%) 등 이동통신 3사는 2012년12월부터 정부가 본인확인기관으로 지정했기 때문에 주민번호를 수집·이용할 수 있다.

이통3사는 아이핀을 발급하는 신용평가기관처럼 주민번호를 대체하는 인증수단을 제공하는 본인확인기관 역할을 하고 있다.

이번 KT의 대규모 고객정보 유출 사태는 이통3사가 본인확인기관으로 지정된 이후 첫 해킹사고라는 점에서 본인확인 인증기관에 대한 신뢰도가 크게 떨어지게 됐다.

당초 이통사를 본인확인기관으로 지정하는 것을 둘러싸고 업계에서는 우려가 나왔다.

개인정보 대량 유출 경험이 있는 이통사들을 본인확인기관으로 지정하는 것이 개인정보보호를 강화하기 위한 정보통신망법 개정 취지에 부합하지 않는다는 비판이었다. KT는 앞서 2012년에도 전산시스템이 해킹을 당해 870만명의 가입자 정보가 유출됐다.

박경신 고려대 법학전문대학교 교수는 이와 관련 한 세미나에서 "휴대폰 본인확인제도가 개인정보보호라는 취지에서 벗어날 수 있다"며 "이통사만 정보를 수집하게 되면 이들은 빅브라더가 될 것"이라고 지적했다.

이통사 조차 이번 사태와 같이 혹시 모를 문제가 발생할 경우 책임을 져야할 수 있어 내부적으로 부담스럽다는 우려가 나왔다. 한 이통사 관계자는 "개인정보 보호시스템 등을 개선한 뒤 본인확인기관으로 지정한 것이 아니라 본인확인기관으로 지정한 뒤 알아서 시스템을 보완하라는 식이어서 부담스러운 게 사실"이라고 말했다.

이번 KT 해킹 사건도 본인확인기관 지정 이후인 2013년 2월부터 이뤄진 것으로 조사돼 정부 당국의 허술한 관리감독도 문제로 지적된다.

방통위 관계자는 "당시 이통사 본인확인기관 지정을 위해 보안·네트워크 등 외부전문가 10명이 서류심사와 현장 실사를 2회 실시했다"며 "일단 이번 사건이 해킹에 의한 개인정보유출사고로 확인될 경우, 방통위와 미래부가 합동 실태조사를 진행할 계획"이라고 말했다.