[한스경제=박정현 기자] 4월 SK텔레콤이 해킹을 받아 고객 정보가 유출될 가능성이 있다고 밝힌 사실은 국민에게 적잖은 충격을 줬다. 통신은 생활권과 밀착된 부분이라 일반 플랫폼이 해킹되는 것과는 체감되는 수준이 다르기 때문이다. 

통신사가 해킹 위협을 받고 대규모의 고객 정보를 탈취당하는 건 사실 고질적인 문제다. 국내만 따져도 KT가 2012년부터 2014년까지 영업시스템 해킹 및 홈페이지 해킹을 당했고 LG유플러스는 2023년 디도스 공격을 받았다. 그리고 올해 SKT 사고가 일어났다. 국가기반 통신망을 운영하는 세 사업자가 모두 해킹 피해를 겪으며 '보안 인프라'의 중요성을 뼈저리게 체감하게 됐다.

해킹 수법은 고도화되고 있다. 2012~2014년 KT 해킹사고가 외부 인터넷망을 통한 기초적인 공격에 당한 것이라면 2023년 LG유플러스부터는 해킹이 내부 시스템을 침투하기 시작했다. KT 사고에서 해커는 프로그램을 사용해 고객서비스 계약번호 9자리를 무작위 입력하거나 홈페이지에 로그인해 고객의 개인정보를 빼냈다. LG유플러스 사고에서는 웹 서버에 원격 명령을 실행할 수 있는 ‘웹셀(Web Shell)’을 심어 내부 애플리케이션과 데이터 계층에 침투했다. SKT 사고에선 내부 서버에 침투한 걸 넘어 보안 체계를 장악했다. 2021년 심어진 악성코드(웹셀, BPF도어)가 서버에서 영역을 확대해나가며 총 28대 서버를 감염시켰다.

통신사의 보안 사고를 담당하는 과학기술정보통신부의 입장은 한결 같다. 보안 투자를 늘리고 역량을 키우라는 것이다. 이번 SKT 사고를 조사한 과기정통부 민관합동조사단은 최종 조사 결과를 발표하면서 "사고 원인은 SKT의 계정정보 관리가 부실했고 과거 침해사고 대응이 미흡했으며 중요 정보 암호화 조치가 미흡해 일어났다"고 결론내렸다. 과기정통부는 앞선 LG유플러스 사고도 "원인은 정보보호 인력·조직·투자 부족"이라며 "투자를 다른 통신사 수준까지 끌어올릴 것"이라고 요구했었다.

그러나 통신사 해킹은 계속 일어나고 있다. 이는 해외도 마찬가지다. 2022년 9월 호주 2위 통신사인 옵터스(Optus)는 1000만 명 이상의 고객정보가 유출되며 국민 3분의 1이 피해를 입었고 2023년 미국 T모바일은 해킹 사고로 수천만 명의 민감 정보를 노출시켰다.

게다가 한해 보안에 수백억원을 투자하는 SKT가 해킹 사실조차 감지하지 못했다는 건 상당한 시사점이 남는다. 통신사 해킹은 단순한 정보 유출 사건이 아니기 때문이다. 특히 최근에는 통신사가 전자서명, 간편인증, 금융보안 서비스까지 앞장서면서 해킹 피해가 금융사기·2차 범죄로 이어질 가능성도 커지고 있다.

통신사가 억울한 면도 있다. 이번 SKT 해킹에 활용된 BPF도어 기반 악성코드는 기존 방화벽이나 백신 등 보안체계로는 탐지가 어려운 유형이었다. 단순히 기업 책임으로 돌리기에는 한계가 있으며 근본적인 국가 보안관리 체계의 재정비가 시급하다.

정부는 보안을 디지털 인프라 전반의 핵심 국가안보 과제로 인식하고, 민·관이 함께 대응하는 구조로 전환할 계획이다. 유상임 과기정통부 장관은 “다가올 AI 시대에는 사이버 위협이 AI와 결합해 더욱 지능화·정교화될 것으로 예상된다”며 “정부는 예방부터 대응까지 전반적인 보안 체계를 개편해, 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다”고 밝혔다.

박정현 기자 awldp219@sporbiz.co.kr