[취재후] 설 열차표 판다고 보안 빗장 해제…이게 최선입니까?

◇ "코레일의 사이버 보안이 이래도 되는겁니까?"

한 대학생이 전화기 너머로 차분히 지적합니다. "수십만 명, 수백만 명이 이용하는 코레일이라는 공기업의 사이버 보안이 이래서 되겠습니까?"

평소 사이버보안 동아리에서 활동하는 공대생 박상민 군. 박 군은 설 연휴 고향가는 열차표를 예매하려다 코레일 홈페이지에서 황당한 사실을 발견했습니다. 평소 동아리에서 배운대로 홈페이지의 보안 상태를 점검하는 프로그램을 돌린 상태로 코레일에서 예매를 진행했는데 사이버 보안에 구멍이 뻥 뚫려 있었던 겁니다.

박 군이 확인한 건 네트워크 구간 암호화 여부. 설 연휴표를 예매하려면 당연히 코레일 홈페이지에서 로그인을 하게 되는데 이때 입력하는 멤버십 번호와 비밀번호가 본사 서버로 어떻게 전송되는지 확인한 겁니다. 박 군이 간단한 프로그램을 돌려보니 암호화없이 로그인 정보가 그대로 코레일 서버로 보내지고 있었습니다.

◇ 네트워크 구간 암호화... "사이버 보안 기본 중에 기본"

코레일 홈페이지에 로그인할 때 입력하는 정보가 코레일 서버에 '그대로' 보내지는게 왜 심각한 문제인지 모르는 분들도 많을 겁니다. 저 또한 취재하기 전까지 그랬습니다. 하지만 네트워크 구간 암호화가 안됐다는 건 사이버 보안의 기본 중에 기본도 안됐다는 게 전문가들 지적입니다.

개인 사용자가 입력하는 정보가 본사 서버로 보내질 때 암호화가 안됐다는 건 네트워크에 접근할 수 있다면 개인 정보를 그대로 가로챌 수 있다는 뜻이기 때문입니다.

전문가들은 개인정보를 암호화해도 해커들이 풀어내서 범죄에 활용하는 세상인데 고객 정보를 그대로 보낸 건 어처구니 일이라고 강조했습니다. 영세한 인터넷 쇼핑몰이 아니면 대기업 사이트에서는 이제는 찾아볼 수 없는, 10년 전에나 있었던 황당한 상황이라는 설명도 덧붙였습니다.

◇ 설 열차표 예매 기간 빗장 해제 "당신의 열차표 누군가 취소할 수 있다."

전문가들은 코레일이 네트워크 구간 암호화 장치를 푼 건 서버 부담 때문일 것이라고 유추했습니다. 설 연휴 열차표 예매가 진행되는 이틀 동안 평소보다 훨씬 많은 수십만 명의 고객들이 사이트에 동시 접속하는 만큼 구간 암호화 장치를 풀어 서버 부담을 줄이려 했다는 추정입니다.

하지만, 서버 부담을 이유로 암호화 장치를 풀었다면 서버 장비를 늘리기 보다는 고객의 개인정보를 담보로 코레일이 회사의 비용을 아끼고 편의만 챙기려 했다는 지적을 피하기 어렵습니다. 말그대로 꼼수를 부린 겁니다.

전문가들은 만약에 네트워크에 해커가 접속해 이용자들의 멤버십 번호와 비밀번호를 대량으로 수집한다면 설 연휴를 앞두고 동시에 예매표를 취소하거나 변경하는 것도 실제로 얼마든지 가능하다고 경고합니다. 열차표 대란이 벌어질 수도 있다는 겁니다. 코레일이 지난 설연휴 열차표 예매 기간때처럼 사이버 보안 빗장을 풀어둔다면 그저 악의적 해커가 없길 바래야 하는게 고객들 상황입니다.

취재를 하면서 코레일에 해당 문제에 대한 해명을 요구했습니다. 설 연휴 기간 이틀 동안 임시로 네트워크 구간 암호화 장치를 풀어둔 것에 대해서 설명을 요구했는데요. 담당자와 논의한 뒤 연락하겠다는 말을 끝으로 어떤 해명도 듣지 못했습니다.

다음 명절 열차표 예매 때는 어떨까요? 잊지 않고 지켜보려고 합니다.

☞ 다시보기 <뉴스9> [단독] 코레일, 설 열차표 판다고 ‘보안 빗장’ 해제