'해커 놀이터' 된 韓, 통신 3사 모두 뚫렸다
KT, 서버 94대·악성코드 103종, SKT보다 감염 규모↑
국가인증에도 뚫린 보안망, 초강력 규제 수반돼야

SK텔레콤에 이어 KT, LG유플러스까지 통신 3사가 모두 조직적인 해커 집단의 공격에 장기간 노출된 사실이 드러났다. SKT는 내부 서버에 악성코드가 설치돼 수개월간 데이터가 외부로 유출됐고, KT는 정식 기지국으로 위장한 불법 초소형 기지국이 휴대전화 신호를 가로채 인증정보를 탈취당했다. LG유플러스는 관리자 계정과 내부 시스템 접근기록이 외부로 유출된 사실이 뒤늦게 확인됐다. 조직적인 해커 집단이 한국 통신 3사를 제집 드나들 듯 개인정보를 탈취한 것이다. 수년에 걸친 잠복 침투와 대규모 개인정보 유출, 사고 이후의 은폐와 미신고 정황은 한국 통신 보안 관리가 이미 통제 불능 상태에 들어갔음을 보여준다.

이통3사 해킹 무방비

29일 과학기술정보통신부 민관합동조사단은 ‘KT, LG유플러스 침해사고 최종 조사 결과’를 발표했다. 정부 발표를 종합하면 통신사 해킹이 시작된 것은 2021년이다. 지난 7월 SK텔레콤 유심 해킹 사태 조사 결과를 발표할 당시 류제명 과기정통부 차관은 “해커가 SK텔레콤 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 추정된다”고 밝혔다. 결과적으로 이들 핵심 개인 정보가 유출된 데 따른 금전적인 피해는 일어나지 않았지만, 사태 당시 삼성전자, 국가정보원 등에서 유심 교체가 필요하다는 지침을 내리면서 일반 가입자들의 불안도 크게 확산했다. 무엇보다 개인정보 유출 규모가 사실상 고객 전체인 2,324만여 명에 달하면서 국민 절반의 정보가 새어 나갔다는 허탈감도 컸다.

KT는 이듬해인 2022년 4월부터 해킹 공격을 받은 것으로 나타났다. 조사단이 KT 서버 3만3,000대를 여섯 차례 점검한 결과 서버 94대가 BPF도어, 루트킷, 디도스 공격형 코드 등 악성코드 103종에 감염된 것으로 밝혀졌다. SK텔레콤이 서버 28대에서 33종의 악성코드에 감염됐다는 점을 고려하면 KT의 피해 범위가 더 크다는 것을 알 수 있다. 한 보안업계 관계자는 “동일범인지는 확인하기 어렵겠지만 SK텔레콤 서버에 잠복한 해커가 몇 개월간 들키지 않자 KT 서버를 공격할 때 더 과감해진 것이라고 해석할 수 있다”고 말했다.

조사단에 따르면 KT 사태의 핵심은 펨토셀이라는 초소형 기지국이다. 통화 품질을 높이기 위해 가정이나 소규모 사무실에 설치하는 이 장비가 해커들에게는 KT 내부망으로 들어가는 프리패스 티켓이 된 셈이다. 실제 해커들은 불법 개조한 펨토셀에 KT의 인증서와 서버 IP 정보를 복제해 넣었는데, 수법이 상당히 교묘했다. 불법 펨토셀의 전파 출력을 강제로 높여 주변의 일반 사용자 단말기가 강제로 가짜 기지국에 접속하게 만들었기 때문이다. 사용자가 아무런 의심 없이 통신망을 이용하는 사이 그들의 전화번호와 IMSI(가입자 식별번호), IMEI(단말기 식별번호) 등 2만2,227명의 민감 정보가 공격자의 손아귀로 들어갔다.

통신의 기본인 암호화가 무력화된 지점도 논란이다. 일반적으로 통신 구간의 종단 암호화는 어떤 상황에서도 해제되지 않아야 하는 것이 원칙이다. 하지만 불법 펨토셀을 거치는 과정에서 암호화는 풀려버렸고 사용자의 문자 메시지와 음성 통화 내용은 평문 상태로 해커에게 노출됐다. 특히 아이폰16 이하 모델의 경우 KT가 아예 암호화 설정조차 지원하지 않은 것으로 드러났다. 이를 통해 368명의 피해자와 2억4,300만원이라는 금전적 피해가 발생했다.

업계 3위인 LG유플러스가 공격당한 건 2023년이다. 당시 LG유플러스는 약 30만 건의 개인정보가 유출되는 보안 사고를 겪었다. 정부는 당시 조사를 통해 LG유플러스에 해킹을 통해 외부 침해자가 내부 데이터에 접근할 수 있는 취약점이 존재했다는 점을 확인했다. 더 큰 문제는 LG유플러스의 은폐 의혹이다. 최광기 과기정통부 사이버침해대응과장은 “LG유플러스는 APPM 서버 2대 중 백업용 1대만 조사단에 제출했고 제출한 서버의 운영체제(OS)를 8월 12일 업그레이드하면서 침해사고 흔적을 모두 지웠다”고 말했다.

게다가 LG유플러스는 협력사 직원 노트북에서 LG유플러스 APPM 서버로 이어지는 네트워크 경로상 주요 서버 등도 8월 12일부터 약 한 달간 OS를 재설치하거나 폐기한 것으로 확인됐다. 류 차관은 “시점을 확인했을 때 LG유플러스의 행위가 부적절하다고 판단하고 이달 위계에 의한 공무집행 방해로 경찰청 국가수사본부에 수사를 의뢰했다”고 밝혔다. KT 또한 최근 불법 펨토셀을 통한 무단 결제를 조사받는 과정에서 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실이 드러났다. SK텔레콤 역시 2022년 2월 특정 서버에서 비정상 재부팅이 발생했지만 이를 신고하지 않은 채 넘겼다.

내부통제 시스템·보안 인력 부재 심각

전문가들은 일련의 사태를 통해 통신사별 보안사고 대응 과정과 내부 통제 시스템이 적절치 않았음이 입증됐다고 본다. 실제 무단 소액결제 사례에서 보듯 초소형 기지국 관리에 대한 보안 관리에는 구멍이 뚫려 있었다. 사고 보고와 복구 체계, 유관 기관 간 협력 구조, 재발 방지 대책 등에서 관리와 대응 조치가 제대로 작동하지 않은 것이다. 결국 이 흐름은 하나의 본질로 모인다. 급격히 복잡해진 디지털 운영 환경에 비해 기업들의 보안 체계는 여전히 경계 방어식 사고에 머물러 있다는 점이다. SK텔레콤의 대규모 유출도, KT의 결제 피해도, LG유플러스의 통화 정보 노출도 서로 다른 방식이었지만 공통적으로 기본 통제 부재가 드러났다. 신기능 확장에 집중하는 사이 보안 검증은 꾸준히 후순위로 밀렸고, 이 같은 허술함은 사고 순간만이 아니라 사고 이후의 대응에서도 그대로 반복됐다.

특히 사고 발생 시점과 통지 시점의 간극, 불명확한 책임 설명, 실제 피해 규모와의 괴리가 이용자 불안을 키웠다. 더욱이 KT 사례처럼 금전 피해가 현실화된 상황은 보안 실패가 더 이상 '안내 문자'로 수습될 수 없다는 점을 보여줬으며, 복구 체계 역시 충분히 검증됐다고 보기 어렵다. 또한 국지적 사고가 언제든 대규모 장애로 번질 수 있는 환경에서 백업 분리, 복구 훈련, 데이터 격리 같은 기본 절차가 실제로 작동하는지조차 명확지 않다. 이렇듯 통신사 해킹 사고들이 드러낸 것은 기반 인프라의 복원력이 얼마나 취약한지다. 예방만 강조해 온 기업 관행 속에서 복구 전략은 늘 후순위로 밀려왔고 그 공백은 사고의 피해를 더욱 키우고 있는 실정이다.

보안 인력 부족도 심각하다. 최근 국내 기업들이 연달아 해커들의 먹잇감이 되며 위기의식이 높아졌지만 보안 인력풀의 한계로 인해 정작 기업들은 인력 확충에 어려움을 겪는 것으로 나타났다. 글로벌 보안업체 시스코의 ‘2025 사이버보안 준비지수’에 따르면 한국 기업의 97%가 ‘보안 인력 부족’을 호소했다. 응답 기업의 34%는 10개 이상의 보안 관련 포지션이 ‘미충원’ 상태라고 응답했다.

한국인터넷진흥원(KISA)이 올해 2월 발표한 정부 공식 통계도 보안인력 부족을 여실히 보여준다. KISA 집계에 의하면 최근 1년 내 보안인력 채용 경험이 있는 기업은 7.6%에 불과했고, 향후 1년 내 채용 계획 보유 기업은 33.2%에 그쳤다. 기업들은 보안인력 채용 계획을 세우지 못한 이유로 ‘적합한 수준의 보안 인력 채용이 어려움’(23.8%)을 꼽았다. 보안전담인력을 293명으로 대폭 늘린 LG유플러스도 최근 수개월째 보안 부문에서 적합한 전문 인력을 찾지 못해 애를 먹고 있다. 개인정보보호 부문의 실무자라면 법·제도와 보안 기술, 각 부문별 서비스 등에 전문성을 갖춰야 하는데, 눈높이에 맞는 인재를 찾기 힘들다는 것이다.

'유명무실' ISMS 인증 취소 '실효성' 의문

대형 해킹 사태에 대응하는 과정에서 드러나는 정부의 제도적 한계도 문제다. 현재 한국의 사이버 위기 대응 체계는 △개인정보보호위원회 △과기정통부 △국가정보원 △KISA 등 여러 주체로 나뉘어 있다. 특히 해킹 등 시스템 침입은 KISA가, 개인정보 유출 피해는 개인정보보호위원회가 담당하는 구조로 이원화돼 있는데, 두 기관 모두 기업의 자발적 신고에 의존할 수밖에 없어 초기 대응이 늦어진다는 비판에 직면해 있다. 실제로 SK텔레콤이 유심 정보 해킹 정황을 처음 인지한 것은 지난 4월 18일이었지만 KISA에 공식 신고가 접수된 것은 이틀 뒤인 20일이었던 것으로 밝혀졌다.

ISMS-P 제도의 무용론도 거세다. ISMS-P는 2018년부터 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합해 시행 중인 인증제도로, ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다. 과기정통부와 개인정보위가 공동 고시하는 국내 최고 수준의 보안 관리 체계 인증으로, 이 인증을 받은 기업은 정부로부터 고객 정보를 안전하게 보호할 수 있는 최소한의 보안 관리 체계를 갖췄다고 공식적으로 공인받은 셈이 된다.

하지만 인증을 받은 기업 263곳 가운데 통신 3사, 쿠팡, 롯데카드 등 27곳에서 5년간 33건의 개인정보 유출 사고가 발생했다. 특히 쿠팡은 해당 인증을 보유하고 있었음에도 정작 가장 기초적인 보안 수칙인 퇴사자 접근 권한 회수를 지키지 않은 것으로 드러났다. 정부가 인증 심사를 소홀히 한 것 아니냐는 지적이 나온 이유다. ISMS-P 인증이 기업 면죄부로 악용되고 있다는 점도 지적 사항이다. 현행법상 ISMS-P 인증을 보유한 기업은 개인정보 유출 사고가 발생해 과징금을 부과받을 때 일부 감경할 수 있기 때문이다.

이처럼 인증 제도의 허점과 솜방망이 처벌에 대한 비판이 거세지자 정부는 과징금 감경 요건을 엄격히 적용하고 인증 이후 1년마다 모의 해킹 등을 통해 실질적인 운영 여부를 검사, 이를 지키지 못하는 기에 대해선 인증을 취소하겠다는 계획을 내놨지만, 실효성에 대한 의문이 적지 않다. 한 보안 전문가는 “보안은 권고나 유도 수준의 관리 대상이 아니다”라며 “대규모 개인정보 침해가 발생할 경우, 해당 기업이 시장에서 존속할 수 없다는 명확한 신호를 제도적으로 각인시켜야 한다”고 지적했다. 그러면서 “ISMS 취소만으로는 경영 판단에 실질적 압박이 작동하지 않는다”며 “서비스 전면 중단이나 사업 허가 정지 등 즉각적인 영업 차질로 연결되는 강력한 규제가 수반돼야만 생존 요건으로 인식될 것”이라고 지적했다.