얼마전에 제 홈페이지에 3월 21일에서 25일까지 운영된 "휴대폰 정보 조회"라는 페이지를 만든 적이 있습니다.
위 화면이 그것인데, 입력창에 전화번호를 입력하면, 해당 전화번호에 대한 정보가 아래 화면 처럼 나오게 됩니다.
휴대폰 주소록에 등록된 몇 몇 사람들의 전화번호를 입력해본 결과 LG텔레콤 사용자의 정보는 모두 검색되는 듯 했습니다.
하지만, 이 것은 제 홈페이지에서 해당 정보를 가지고 있는 것이 아니고, 구글에서 "폰 정보 조회"라고 검색하면 나오는 페이지에서 이미 누구나 볼 수 있었던 것이며 (2006년부터 가능했다고 함), 저 역시 이 내용을 확인하기 위한 목적으로 거의 5분에서 10분 사이만에 이 페이지를 만든 것입니다. 단순히 해당 페이지에서 전화번호를 입력받아 링크하듯이 저 또한 똑같이 동작하도록 입력창에 전화번호를 입력받아 해당 사이트로 링크하도록 한 것입니다.
단순히 링크만 한 것이기에 이 점 문제되리란 생각은 하지 못하고, 내용확인 후 LG텔레콤에 항의하리라 다짐하고 있었습니다. 하지만, 당시가 금요일밤이었고, 월요일에 사건이 터지는 바람에 행동으로 옮기지는 못하였습니다.
다음은 이 페이지의 전체 소스입니다. (경찰에 원본을 압수당해 기억나는 대로 다시 작성한것이며 동작에는 거의 차이 없습니다.)
<html>
<head>
<title>휴대폰 정보 조회</title>
<script type="text/javascript">
<!--
function getInfo() {
var number = document.phoneInfo.number.value;
// 발견 지점 : http://mshop.or.kr/popwindow/pop_phoneinfo.jsp
location.href = "http://char.ez-i.co.kr/auth/phoneAuth.jsp?returnUrl=http://fguy.co
m/phoneInfo&cpId=mivept&pass=mivept&ctn="+number+"&conte
ntType=C";
}
-->
</script>
</head>
<body>
<h1>휴대폰 정보 조회</h1>
<p>LG텔레콤의 휴대폰 정보를 조회할 수 있습니다. 입력란에 휴대폰 번호를 입력하세요.</p>
<form name="phoneInfo" action="javascript:getInfo()">
<input type="text" name="number">
<input type="submit">
</form>
<script type="text/javascript">
<!--
// 휴대폰 정보가 있으면 하단에 출력 휴대폰 정보는 ? 뒤에 딸려옴
if(location.href.indexOf("?")) {
// 휴대폰 정보 출력부분 (기억이 안나서 단순화)
document.write("휴대폰 정보 : " + location.search);
}
-->
</script>
</body>
</html>
이 글을 읽으시는 여러분들께 폰 정보 조회 사이트에서 해당 내용이 확인 가능함을 보여드리고 싶지만, 이 사이트의 기능은 현재 차단 되어 있어, 확인 시켜 드리지 못함이 안타깝습니다.
아래는 제 친구가 이 사이트에서 정보를 가져오는 과정을 동영상으로 녹화한 것입니다.
처음엔 이 사이트에서 정보가 유출되는 것으로 알았는데, 알고보니 LG텔레콤 사이트(http://char.ez-i.co.kr 은 LG텔레콤 사이트라고 합니다.)에서 유출되고 있었던 것입니다.
당연히 LG텔레콤에 책임을 물어야 할 것으로 생각했는데, 상대하기 까다로운 대기업인 LG텔레콤 보다 힘 없는 개인인 저에게 모든 책임을 지우려 하는 것 같습니다.
아래는 제가 위반했다는 법 조항입니다.
정보통신망이용촉진및정보보호등에 관한 법
- 제49조 (비밀 등의 보호) 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다.
=> 이미 누구나 어떠한 인증 절차, 또는 안내 없이 해당 정보에 접근 가능했으므로, 비밀로서의 가치를 잃었다고 볼 수 있습니다. 그리고 정보를 훼손할 수 있는 방법은 제공하지 않았습니다. 설사 비밀이라 하더라도 침해,도용,누설은 하지 않았습니다. 하지만 그럴 수 있는 가능성을 제공한 것은 인정합니다.
- 제49조의2 (속이는 행위에 의한 개인정보의 수집금지 등) ①누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나, 제공하도록 유인하여서는 아니 된다.
=> 누구도 속이지 않았으며, 정보를 제공하도록 유인한 것이 아니며, 이미 누구나 볼 수 있는 페이지였습니다.
전기통신사업법
- 제54조(통신비밀의 보호)①누구든지 전기통신사업자가 취급중에 있는 통신의 비밀을 침해하거나 누설하여서는 아니된다.
=> 정보통신망이용촉진및정보보호등에 관한법 제49조에 대한 반박과 같으며, 침해하거나 누설하려고 하지 않았습니다.
저는 지인들의 정보가 유출되고 있음을 확인 했을 뿐이고, 이 페이지를 통해 다른 사람들의 정보는 조회하지도 않았으며, 더욱이 어떠한 정보도 저장하지 않았음에도 불구하고, 경찰에서는 제가 정보를 빼돌리려 했다고 합니다. 아마도 수사의 방향을 제가 개인정보를 빼돌린 것으로 단정한 걸로 보입니다. 억울함에 청와대 신문고에 민원도 넣었으나, 경찰에서는 어떻게든 저에게 죄를 씌우려는 것 같습니다.
사이버수사대가 제게 압수수색 영장을 들고 찾아 온 날 처음 물어본 것은 LG텔레콤에서 일한 적이 있는지 여부와 거기서 개인정보에 접근하는 방법을 알아낸 것 아니냐는 것이었습니다. 7년전 LG텔레콤의 CP에서 근무한적은 있지만, 개인정보 근처에도 가 본 적이 없습니다. 이 사실은 LG텔레콤에 확인할 수 있을 것으로 생각되어 확인해 보라고 했으나, 당사자인 LG텔레콤이 똑바로 얘기할리 만무합니다. 제 근무 기록조차도 날조하여 회신하였습니다. 하지만 수사대는 제게 계속해서 추궁을 하였고, 저는 LG텔레콤이 거짓을 말하노라고 얘기했지만, 제 말을 믿어주었을지는 미지수입니다.
"폰 정보 조회"라는 사이트는 친구로 부터 알게되었고, 이 내용은 메신저 대화기록에 있으며, 제가 LG텔레콤 관련 업무를 한 것과는 전혀 무관한 것입니다.
그리고, 사이버수사대의 수사력에 상당히 문제가 있습니다. 서버 압수시 Linux 컴퓨터의 종료방법을 몰라 제게 문의하였고, 위에 보이는 간단한 HTML 파일을 10여차례가 넘게 손가락으로 짚어가며 자세히 설명하였으나, 이해하지 못하였으며, URL에 대한 개념도 없어 해당 부분이 주소창에 들어가는 주소라고 설명하여도, 프로그램 소스가 아니냐는 질문을 하는 등 "사이버"라는 명칭이 무색해보였습니다. 그저 반복해서 제게 잘못을 고하라는 얘기뿐이었습니다. 그리고, LG텔레콤에서 제출한 로그는 신중하게 간수하였고, 제 서버에 저장된 웹서버 로그는 조회조차 하지 않았습니다. 서버를 압수해갔기에 서버로그는 당연히 분석했으리라 생각했는데...
아마, 곧 수사를 마치고 저의 항변에도 불구하고 이를 수용할 생각이 없는 사이버수사대는 저를 기소 할 것 입니다. 제가 한 일은 개인정보가 정말로 유출되고 있는지 확인한 것이며, 결단코 제가 유출한 것이 아님이 명백합니다. LG텔레콤이야 말로 정보유출의 당사자로서 책임을 져야 할 것이며, 경찰은 수사의 방향을 고민해보아야 할 것 입니다.
* 이 포스트에 어떠한 거짓이나 사실과 다른 내용이 있다면 마땅히 처벌 받을 것입니다. 작성한 내용은 사실 그대로 입니다.
|
