인더뉴스 이종현 기자ㅣ최근 SK텔레콤[017670]에 이어 KT[030200]까지 연이어 보안 사고가 발생하며 통신업계 전반에 '사이버 보안 경고등'이 켜졌습니다.

 

SKT의 경우 지난 4월 2696만건 규모의 유심 인증정보가 유출된 바 있으며 KT는 500여건에 달하는 무단 소액결제가 발생해 현재까지 약 1억7000만원 수준의 금전적 피해가 확인됐습니다.

 

이에 따라 대형 통신사의 보안 체계와 대응 시스템도 도마 위에 올랐습니다.

 

특히, 사고 인지와 신고까지 시간이 지체되면서 초동대응 미흡이 피해 확산을 키웠다는 비판이 제기됩니다.

 

전문가들은 악성코드 침투, 불법 기지국 해킹 등 새로운 공격 수법이 늘어나고 있는 만큼 민관 합동으로 보안 체계를 재점검하고 국가 차원의 보안 인프라 투자와 제도 개선이 필요하다고 지적합니다.

 

두 통신사 모두 '지연 대응' 논란…피해 예방 늦어져

 

SKT의 해킹 사고와 KT의 무단 소액결제 사고의 공통점은 사고 인지 시점과 신고 및 대응 시점이 지연됐다는 점입니다.

 

SKT는 지난 4월18일 오후 6시 9분 SKT의 서버 내 이상 신호를 최초로 감지했으며 같은 날 오후 11시경 악성코드로 인해 SK텔레콤 고객의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했습니다.

 

하지만 SKT는 거의 이틀이 지난 4월20일 오후 4시 46분에 한국인터넷진흥원(KISA)에 해킹 의심 정황에 대해 신고했습니다. 현행법상 정보통신서비스 제공자는 해킹 등 침해 사실을 '알게 된 때'로부터 24시간 이내에 의무적으로 관계 당국에 신고해야 하기에 '늑장 신고'에 대한 논란이 일기도 했습니다.

 

 

KT 무단 소액결제 사고는 26일 최초 제보가 있었으나 이보다 20여일 전인 8월 초에 이미 발생했었던 것으로 나타났습니다.

 

17일 더불어민주당 황정아 의원실이 KT에서 제출받은 ‘KT 피해 고객 일자별 결제 건수’ 자료에 따르면 8월 5일부터 9월 3일까지 피해 고객 278명의 결제 건수는 모두 527건으로 집계됐으며 최초 피해 발생일은 8월5일로 2건의 무단 소액결제가 이뤄졌습니다.

 

이후 무단 소액결제는 8월21일과 26일 각각 33건으로 늘었으며 27일 106건으로 급증했습니다. 27일부터는 서울과 경기권을 중심으로 휴대전화에서 수십만원이 빠져나갔다는 KT 이용자들의 신고가 들어왔으며 신고를 접수한 경찰은 이례적인 피해 신고에 해당 사실을 KT에 알렸습니다.

 

경찰은 이달 1일 KT에 무단 소액결제 피해에 대해 알렸지만 KT는 "해킹 정황은 확인된 바 없다"라고 주장했습니다. 이후 2일, 3일에 각각 38건, 71건의 무단 소액결제 피해가 발생했습니다.

 

KT는 이후 5일이 되어서야 비정상 소액결제를 차단하고 9일 침해 사고 발생을 인정하고 KISA에 8일부로 사이버 침해 사고 신고를 접수했습니다. 최초 무단 소액결제 피해로부터 한 달, 소액결제 사건 수사팀이 KT 본사와 지점, 중개소 등에 사건 내용을 전달하고 일주일이 지난 시점입니다.

 

전문가들은 이러한 지연 대응이 추후 피해를 확산하는 데에 일조할 수 있다고 우려를 표합니다. 실제로 KT가 소액결제 사건 수사팀의 통보 이후에 즉각 대응했다면 2일과 3일에 발생한 총 109건의 피해는 막을 수 있었습니다.

 

한 통신 전문가는 "통신사 내부의 이상징후 탐지 시스템과 사고 대응 프로세스가 미흡했다"라며 "초동대응 지연이 피해 확산으로 이어졌다"라고 사이버 침해 사고에 대해 지적하기도 했습니다.

 

대규모 정보 유출 VS 소규모 금전 피해…방법·규모·피해는 달랐다

 

SKT와 KT의 보안 사고는 그 방법과 규모, 피해 면에서 차이점이 존재합니다.

 

먼저, SKT는 서버 내 악성코드 침투로 유심 인증키, IMSI 등 핵심 가입자 식별 정보가 대량으로 유출된 사고입니다. 이로 인해 약 9.82GB 데이터, IMSI(국제이동가입자식별번호) 기준 약 2696만명의 유심 정보가 유출됐지만 실질적인 금전 피해는 발생하지 않았다는 특징이 있습니다.

 

반면, KT 무단 소액결제 사고는 유출된 IMSI는 5500여개로 규모 면에서는 SKT에 비해 작지만 실질적 금전 피해가 발생했습니다.

 

17일 국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실이 KT로부터 제출받은 자료에 의하면 KT가 지난달 5일부터 지난 3일까지 파악한 피해 고객 278명의 결제 건수는 총 527건입니다. 피해액의 경우는 약 1억7000만원으로 집계됐습니다.

 

KT의 사이버 침해 사고의 원인은 현재 정확히 파악 중이지만, 불법 개조된 초소형 기지국(펨토셀)이 원인인 것으로 추정되고 있습니다. 해킹범이 불법 개조한 펨토셀을 휴대전화가 기지국으로 착각해 연결되면 데이터를 빼가는 방식입니다.

 

KT는 이 불법 개조된 기지국을 통해 IMSI만이 유출되었다고 보고 있으며 단말기 고유식별번호(IMEI), 유심 인증키 등의 유출에 대해서는 부인하고 있습니다.

 

 

다만, 펨토셀만으로 소액결제 피해가 발생하는 것은 어렵다는 것이 전문가들의 의견입니다.

 

이러한 '가짜 기지국' 공격은 국내에서는 전례를 찾아보기 어려운 방식이지만 세계적으로는 유사 사례가 존재합니다. 2018년에 미국 워싱턴 D.C.에서 해당 수법이 감지된 바 있으며 2023년에도 노르웨이에서 국제 범죄 조직이 가짜 기지국 장비로 정부기관 인근 휴대전화 정보를 탈취하려다 검거된 사건도 있습니다.

 

올해만 해도 터키에서 차량에 설치한 불법 기지국을 이용한 대규모 스미싱과 개인정보 탈취가 적발되기도 했습니다.

 

연이은 사이버 침해 사고…민관 차원에서 함께 대응해야

 

양사는 사이버 침해 사고 이후 사과와 함께 피해 고객 대상으로 유심 무료 교체 등 배상을 약속했습니다. SKT는 민관합동조사단의 조사를 받았으며 지난 7월 해당 침해 사고가 회사의 귀책 사유로 결론 나며 위약금 면제 판단을 받기도 했습니다.

 

한편, KT와 관련해서 경기남부경찰청 사이버수사과는 정보통신망법 위반(침해)과 컴퓨터사용사기 혐의로 중국인 장모 씨(48), 류모 씨(44)를 검거해 구속영장을 신청했다고 17일 밝혔습니다.

 

경찰에 따르면 장 씨는 지난달 말부터 이달 초까지 불법 초소형 기지국을 승합차에 싣고 서울 금천구, 경기 광명시 일대를 돌며 KT 이용자 휴대전화를 표적으로 모바일상품권 구매, 교통카드 충전 등의 소액 결제를 한 혐의를 받고 있습니다. 류 씨는 이 결제 대금을 현금화한 혐의가 적용됐습니다.

 

통신보안 사고는 단순한 개별기업의 문제가 아니라 국가 인프라 리스크로도 연결되는 문제입니다.

 

이에 대해 전문가들은 보안 투자 및 운영의 일관성 부족이 보안 사고로 바로 직결된다는 점을 짚으며 보안 투자의 중요성을 강조하고 있습니다. 또한, 기업의 책임으로만 돌리기보다는 정부 차원에서의 제도 개선과 법적 책임 범위 명확화 등을 촉구하기도 합니다.

 

한 정보보호 전문가는 "기업도 해킹의 피해자일 수 있는데 국가가 책임을 회피하고 기업만 희생시키는 구조는 옳지 않다"라며 "기업도 하나의 국민으로서 보호해야 한다는 관점에서 이번 사고와 관련한 정부의 역할이 강화돼야 할 것"이라고 말하기도 했습니다.

 

정부도 연이은 통신 보안 사고에 민감하게 대응할 것임을 밝혔습니다.

 

지난 10일 KT 고객 무단 소액결제 침해사고 관련 정책 브리핑에 나선 류제명 과학기술정보통신부 제2차관은 "정부는 민·관 합동조사단을 통해 이번 침해 사고에 대한 원인 분석을 철저하고 투명하게 조사하여 대책을 강구하도록 하겠다"라며 "최근 통신사를 대상으로 한 침해 사고가 증가하고 있는 상황을 엄중하게 받아들이고 통신 3사의 망 관리 실태에 대한 전면적인 보안 점검을 실시할 계획"이라고 강조했습니다.