내용요약 이통 3사, 수조원대 보안 예산 투입에도 해킹 사고 반복
개인정보 유출로 이용자 신뢰 크게 흔들려
사후 대응 중심 투자, 근본적 보안 취약점 해결은 미흡
늦장 대응과 입장 번복에 업계 전반 불신 확산
KT가 최근 일어난 소액결제 침해사고에 대해 처음으로 입장을 발표했다. 가운데가 김영섭 KT 대표이사./박정현 기자
KT가 최근 일어난 소액결제 침해사고에 대해 처음으로 입장을 발표했다. 가운데가 김영섭 KT 대표이사./박정현 기자

| 한스경제=박정현 기자 | 이동통신 3사가 SK텔레콤 유심 해킹 사고를 계기로 수조원대 보안 예산을 투입하고 있지만 잇단 해킹 사고로 개인정보 유출 우려가 커지면서 이용자 신뢰가 추락하고 있다.

22일 업계에 따르면 4월 SKT 해킹 사고 이후 이통업계 전체에 보안 투자가 강화됐다. 7월 SKT가 5년간 7000억원을 정보보호에 투입하겠다고 밝힌 데 이어 KT는 1조원, LG유플러스는 7000억원을 각각 투자하겠다고 발표했다. 3사의 총 투자금은 2조4000억원 규모로 기업별로 연간 약 1300억원이 보안 강화에 쓰이는 셈이다.

다만 SKT가 사고 수습 및 원인 규명을 마무리하기도 전에 9월 KT 소액결제 침해사고가 발생하며 통신사 보안 투자금 확대의 실효성에는 의문이 제기된다. 이미 통신사가 감지하지 못하는 앞선 시기에 보안 시스템이 선제적으로 뚫린 상태라면 사후 대응을 위해 투자금을 늘리는 것은 효과가 제한적이라는 지적도 나온다.

실제 SKT는 3년 전 침입한 악성코드로 유심 정보가 유출된 정황을 4월 19일 확인했다. KT 역시 범행 시작 시기를 특정하지 못한 상태다. 류제명 과기정통부 2차관은 "불법 ID가 최초로 발견된 게 6월 26일인데 이전에 (해커의) '몸풀기'가 있었을 수 있다. 이 경우 실제 피해사례 발생과는 상당한 시간적 격차가 생긴다"고 말했다.

여기에 피해 기업들이 입장을 번복하거나 늦장 대응으로 일관하면서 이번 이통사 해킹 사고는 업계 전반에 대한 신뢰 문제로 번지고 있다. 

KT는 10일 과기정통부에 "유심 정보 유출은 전혀 없다"고 밝혔다가 11일 국제이동가입자식별정보(IMSI) 5561건 유출을 인정했다. 18일에는 국제단말기식별번호(IMEI)와 휴대폰번호까지 빠져나간 정황이 확인됐다고 시인했다. 내부 서버 해킹 정황 역시 처음에는 부인했지만 뒤늦게 서버 침해 흔적 4건과 의심 정황 2건을 보고했다. 피해 규모도 한차례(278명→362명) 변경됐다.

KT가 한국인터넷진흥원(KISA)의 자료 제출 요구를 받은 서버를 이미 폐기했다고 보고한 게 허위이며 실제로는 보고 다음날 파기했다는 MBC 보도가 이어지면서 사건 은폐 의혹은 커지는 상황이다. KT는 이에 대해 “합동조사단 조사에 성실히 임하고 있으며 추가 사실이 확인되는 대로 내용을 공유하겠다”고 해명했다. 박충권 의원실에 따르면 KT는 15일 폐기된 서버의 로그 백업을 확인했고 18일 저녁 민관합동조사단에 해당 자료를 제출한 상태다.

유영상 SKT 대표가 기자간담회를 열고 사과하는 모습. 유 대표는 "위약금 면제는 회사입장에서 굉장히 큰 결정"이라고 말하면서도 "정부 발표 결과와 국민적 여론, 시장에 미치는 영향, 고객 신뢰 등 장기적인 영향을 고려해 시행하기로 결정했다"고 했다./박정현 기자
유영상 SKT 대표가 기자간담회를 열고 사과하는 모습. 유 대표는 "위약금 면제는 회사입장에서 굉장히 큰 결정"이라고 말하면서도 "정부 발표 결과와 국민적 여론, 시장에 미치는 영향, 고객 신뢰 등 장기적인 영향을 고려해 시행하기로 결정했다"고 했다./박정현 기자

늑장 대응 논란은 SKT도 휩싸인 바 있다. SKT는 4월 19일 유심 정보가 해킹으로 유출된 사실을 알았지만 20일 한국인터넷진흥원(KISA)에 뒤늦게 신고하고 당국의 피해 지원을 '중소기업' 대상으로 오인해 기술 지원을 거부했다. SKT는 5월 9일에야 ‘유출 가능성’을, 7월 28일에서야 ‘유출 확정’을 통보했다.

여기에 해킹 사실을 밝히는 고객 문자 발송은 시스템 용량의 한계로, 최우선 조치인 유심보호서비스 제공은 T월드 접속 폭주로 일괄 처리되지 않고 지연된 책임도 있다. 초동 조치에서 디지털 취약계층을 보호하지 못했다는 비판도 적지 않다. 개인정보보호책임자(CPO)의 역할을 IT 영역에만 한정해 실제 사고가 발생한 인프라 영역의 개인정보 처리 실태조차 관리·감독하지 못했다.

LG유플러스는 경쟁사 사건 발생 시 자사 애플리케이션과 홈페이지를 통해 보안 강화를 강조해 왔지만 정작 고객 데이터 외부 유출 사실을 인정하고 현재 KISA의 조사를 받는 상황이다. KISA는 7월 19일 침해 정황 확인을 요청했으나 LG유플러스는 8월 10일 데이터 유출을 인정하면서도 8월 13일에는 침해 정황이 없다고 발표했다. 회사 측은 “진위 여부를 확인하는 데 물리적 시간이 필요했고 현재는 KISA 조사에 적극 협조 중”이라고 밝혔다.

이은희 인하대 소비자학과 교수는 "이통3사가 보안 투자금을 늘리고 있지만 해킹 사고가 반복되면서 투자금이 효과적으로 사용되는지, 보안 전문가 배치가 적절한지 의문이 든다"며 "이통사가 떨어진 신뢰를 회복하려면 소비자에게 관련 정보를 투명하게 공개하고 안내하는 것이 필요해 보인다"고 꼬집었다.

지역 온라인 커뮤니티에서도 이통사들의 늦장 대응과 해명 방식에 대해 불만이 나오고 있다. 한 피해지역 커뮤니티 유저는 "SKT 해킹 사태 때문에 KT로 옮긴사람도 많을 텐데 KT에서도 일이 터졌다. 보안을 생각해 이통사를 옮기는 일 자체가 의미가 없어 보인다"고 전했다. 

박정현 기자

관련기사

저작권자 © 한스경제 무단전재 및 재배포 금지