ＫＴ加入者８７０万人の個人情報が流出

ＫＴ加入者８７０万人の個人情報が流出. July. 30, 2012 07:55. ramblas@donga.com coolj@donga.com. 「お客様。良い条件で最新の携帯電話に換えることができる商品をご紹介するために、お電話差し上げました。契約が２ヵ月しか残っていません」 １週間で２度の電話。会社員のパクさん（３１）はイライラして、「一体、番号がどうして分かったのか」と聞いた。受話器の向こうで、テレマーケターが答えた。「無作為でかけています」。 しかし、依然、疑問が残った。どうやって契約満了の日時まで正確に知っていたのか。正解はハッキングだった。ＫＴ加入者約８７０万人の個人情報が大量流出したのだ。 ●ＫＴ対応型ハッキング・プログラムを作成 情報技術（ＩＴ）の会社で約１０年間、プログラムの開発や維持、セキュリティなどを担当してきたプログラマーのチェ容疑者（４０）は、昨年８月から約７ヵ月間、ＫＴの顧客情報照会システムにアクセスし、加入者の個人情報を抜き出すことができるハッキング・プログラムを作った。そして今年２月から７月１５日までの間、顧客情報を抜き出し、自分が運営するテレマーケティング会社の販促活動に使用した。また、このハッキング・プログラムを別のテレマーケティング会社に販売したほか、加入者の携帯電話の番号とモデル名だけを別のテレマーケティング会社に渡した。このような不法販促営業でチェ容疑者らが得た収益は、少なくとも１０億１０００万ウォンにのぼるとことが明らかになった。 チェ容疑者がＫＴ対応型ハッキング・プログラムを作成したのは、ＫＴのテレマーケティング会社への支給額が別の移動通信社よりも高いためだった。ＫＴは、テレマーケティング会社を通じて顧客が機器や料金制を変更すれば、１件あたり１０万〜１５万ウォンを会社に支給した。チェ容疑者らがハッキングで得た個人情報には、名前、住民登録番号、携帯電話の番号、携帯電話のモデル名、使用料金制、機器変更日、料金合計額など、加入者の情報がほぼ含まれていた。 このハッキング・プログラムは、ＫＴの営業代理店が顧客の情報システムを照会するのを装って、１件ずつ顧客情報を抜き出したため、ＫＴでも５ヵ月間もの間、ハッキングの事実を認識できなかった。警察庁サイバーテロ対応センター関係者は、「チェ容疑者が、別のテレマーケティング会社にハッキング・プログラムを売る際、密かに悪性コードを入れ、別の会社から流出する個人情報もリアルタイムで自分のサーバーに転送するようにした」とし、「チェ容疑者が緻密に犯行を準備し、ハッキングの方法もかなり高いレベルだった」と明らかにした。警察は、ＫＴが情報通信網法上、技術的・管理的保護措置の義務を違反したかどうかについても、捜査する計画だ。 ＫＴの顧客情報の流出が伝えられ、ＫＴ加入者はＫＴホームページ（www.olleh.com）で個人情報の侵害を確認した。自分の情報が流出したことを確認したイさん（２８）は、「料金はしっかり取りながら、通信会社は顧客のセキュリティには関心がない。集団訴訟が起これば参加するつもりだ」と話した。 ●「ほかの通信会社も安心できない」 今回の事件と関連して、ＫＴは「顧客の大切な情報が流出した点について謝罪する」とし、「関係者のＰＣとサーバーを押収して流出した個人情報をすべて回収した。追加被害の可能性は低い」と強調した。 しかし、名義の盗用やボイスフィッシングなどのハッキングによる２次犯罪が発生する可能性はある。ハッキング・プログラムを購入したテレマーケティング会社が収集した個人情報をほかに販売できるためだ。個人情報を文書で出力したり、携帯用保存装置（ＵＳＢ）に保存して流す犯罪行為は、技術的に確認が難しい。個人情報を電子メールやメッセンジャーなどで伝える時にのみ、サーバーに流出記録が残る。 ＫＴのような大手ＩＴ企業の低いセキュリティ意識も問題という指摘が出ている。チェ容疑者らは、ＫＴ代理店の管理者のアカウントを得て、まるでＫＴの代理店のように装い、顧客情報管理システムにアクセスした。正常なら、ＫＴは特定の代理店が５ヵ月間で８７０万件にのぼる大量の個人情報を照会することに疑いを抱くべきだった。しかし、ＫＴの内部のセキュリティ・モニタリングシステムは、リアルタイムで感知できなかった。あるセキュリティの専門家は、「代理店が平常時に顧客情報を照会する慣行を考えると、別の移動通信社でもＫＴと類似の事故がいつでも起こる可能性がある」と指摘した。 一方、放送通信委員会と行政安全部は、法律を改正し、個人情報流出事件と関連して情報保護義務を疎かにした企業に対し、売上額の１％を課徴金として賦課する一方、会社代表の職務停止・解任などを勧告する案を推進している。