대학원생의 대기업홈페이지 해킹사건


대기업들의 웹사이트 보안수준이 바닥을 기고 있다. 취업에 실패한 한 평범한 대학원생이 손쉬운 방법으로 LG전자 포스코 등 국내 굴지의 대기업 홈페이지를 해킹한 사건이 발생한 것이다. ‘사후약방문’이라도 대책을 세워야 하는데도 이들 대기업은 안이하게 대처하고 있어 논란이 거세지고 있다.


경찰은 지난 10월 31일 LG전자를 비롯한 대기업 웹사이트를 해킹, 개인정보를 유출한 혐의로 A대 대학원 컴퓨터공학과에 재학 중인 임모(26)씨가 구속했다. 검거된 임씨는 “능력이 있음에도 불구하고 면접을 보기도 전에 서류전형에서 탈락한 사실에 화가 나 해킹을 시도했다”며 범행동기를 밝혔다.
임씨가 범행을 결심하게 된 것은 단순했다. 대학 재학 중 취업에 거듭 실패하면서 대학원 진학으로 진로를 바꿨던 임씨는 석사학위가 ‘취업보증수표’가 될 것이라는 기대감에 부풀어 있었다. 내년 졸업을 앞둔 임씨는 취업을 준비하면서 입사를 지원했지만 서너 곳의 기업에서 서류전형에서 모두 떨어지는 불운을 겪었다.
9월 12일, 임씨는 다시 LG전자에 입사지원서를 제출했으나 같은 달 26일 서류전형에서 불합격 처리됐다. 이때 임씨는 엉뚱한 생각에 사로잡히고 만다.
자신의 능력을 알아보지 못한다는 사실에 분노한 임씨는 이날부터 LG전자 인사채용 사이트를 해킹하기 시작한 것.
자신의 능력을 과시라도 하듯 임씨는 LG전자 입사지원자 3,600여명의 개인정보를 국내 유명 포털사이트에 뿌렸다.

보안의 ‘기본’도 모르는 대기업 웹사이트
경찰의 검거로 사건은 일단락됐지만 네티즌과 여론의 초점은 해당 기업의 보안 수준에 맞춰졌다. 임씨의 해킹이 일반인도 손쉽게 조작할 수 있는 수준에 머물러 있기 때문이라는 경찰의 설명이다.
경찰에 따르면 임씨는 불합격 통보를 받기 5일 전인 21일, 이미 LG전자 웹사이트의 보안체계가 지나치게 허술하다는 사실을 발견했다.
보통 인터넷 웹사이트는 개인의 아이디와 패스워드 등의 인증을 통해 서버를 동기화시키고 개인정보를 확인할 수 있다. 그러나 문제는 해당기업들이 개인정보 유출 방지를 위한 최소한의 보안장치도 마련해두지 않고 있었다는 사실이다.
임씨는 해킹 과정에서 기본적인 개인인증 절차(로그인)도 필요 없었다고 한다. 때문에 임씨는 사이트 URL주소창에 지원자들의 지원번호와 아이디, 주민등록번호 등을 바꿔가며 입력하는 방식으로 손쉽게 개인정보를 빼낼 수 있었다.
김진환 경찰청 사이버테러대응센터 경장은 “임씨의 해킹수법은 신분노출의 우려가 있어 근래에는 해커들도 사용하지 않는 낡은 방식”이라고 밝혔다. 경찰의 설명대로라면 해킹을 제대로 모르는 일반인도 손쉽게 인터넷 보안망을 뚫을 수 있다는 얘기다.
더 심각한 것은 사건을 대하는 해당 기업들의 태도다. 해당기업들이 해킹범죄에 대한 인식이나 훈련이 덜 돼 있다는 뉘앙스를 풍기고 있기 때문이다.
LG전자 홍보실 관계자는 “컴퓨터공학 전공자라면 이미 전문가 수준의 해킹을 한 것이다. 차원이 다른 ‘일반인’들은 절대 시도하지도 못할 일”이라는 옹색한 답변만을 늘어놓았다. 현재 개인정보유출로 피해를 본 입사지원자들은 LG측을 상대로 소송을 제기한 상태다. LG측은 피해자들과 합의보다 법적 해결을 기다린다는 태도다.
부실한 웹사이트 보안실태는 LG전자만의 문제가 아니다. 경찰에 따르면 임씨는 추석 직후인 10월 중순경 동부그룹의 채용사이트에도 해킹을 시도해 입사지원자 1만여 명의 개인정보를 손에 넣었다. 임씨는 또 입수한 개인정보를 포스코와 KTF의 채용사이트에 적용시켜 다시 수십 명의 개인정보를 열람하기도 했다.
불행인지 다행인지는 모르지만 임씨가 이들 기업으로부터 입수한 개인정보는 외부로 유출시키지 않았다. 경찰 관계자는 “뚜렷한 범행동기가 없는 것으로 미뤄, LG전자와 수준이 비슷한 기업들의 지원자들은 과연 자신과 얼마나 차이가 있는가를 알아보려고 했던 의도로 보인다”고 추측했다.
그러나 해킹범죄에 대한 기업들의 안전 불감증은 심각한 수준이다. 동부그룹 관계자는 “개인정보 유출로 인한 직접적인 피해를 입은 것이 아니기 때문에 심각성을 느끼지 않고 있다”며 “인터넷 사이트 보안문제와 관련해서는 웹사이트를 제작한 업체에 보완작업을 맡겼다”고 말했다.
직접적인 금전손실이나 영업에 지장을 주지 않는 지원자들의 개인정보유출은 그 위험수위가 워낙 미미하다고 판단하고 있지 않나 하는 느낌마저 주고 있다.
포스코는 경찰 수사와 엇갈린 진술을 하고 있다. 더욱이 포스코측은 피해 자체마저 부인했다. 외려 자사의 웹사이트 보안수준이 높다고 강변했다. 포스코 한 관계자는 “매년 정기적으로 ‘사전모의해킹테스트’를 실시하고 있는데 지금까지 단 한 번도 해킹에 뚫린 적이 없는 만큼 완벽한 시스템을 갖추고 있다. 우리회사 사이트의 보안은 업계 최고”라고 강조했다. KTF측은 “우리들이 피해자”라며 억울함을 호소하고 있다.

보안관리는 뒷전
임씨의 해킹사건으로 기업들이 인터넷 보안 관리에 제대로 투자를 하지 않고 있다는 사실이 드러났다. 경찰에 따르면 임씨가 해킹한 기업들의 인터넷 사이트는 오픈한 지 3~4년이나 지난 ‘구형’이다. 기업들이 인터넷 웹디자인에 대한 투자에만 열중하고, 보안 관리는 뒷전으로 미뤘기 때문으로 풀이된다.
국내 보안업체 관계자는 “해킹이라 부르기도 어려운 임씨의 초보적인 범행에 속수무책으로 당한 대기업들의 보안수준은 그야말로 한심한 수준”이라고 일갈했다.
이 관계자는 또 “최초 웹사이트를 설계하는 초기단계에서부터 보안문제를 전혀 고려하지 않은 탓”이라며 대기업들의 안이한 태도를 지적했다. 다시 말해 해킹범죄에 대한 심각성과 예방의 필요성을 제대로 인식하지 못하는 것이 문제이다.
대기업이 이럴진대 중소기업은 더하면 더했지 덜하지 않을 것이라는 지적이다. 경찰에 따르면 외국의 해커들은 해킹을 시도할 때, 위치를 노출시키지 않기 위해 보안이 허술한 중소기업들의 웹사이트를 경유지로 삼는 경우가 허다하다. 해당기업들은 경찰의 수사가 진행된 후에야 뒤늦게 사실을 알게 될 정도로 둔감한 편이라고 한다. 결국 해킹사건 발생 후에도 미지근한 대응으로만 일관하는 기업들의 태도에 국민들의 개인정보까지 위협을 받고 있는 셈이다.
저작권자 © 일요서울i 무단전재 및 재배포 금지