[해킹 대란] ①안전지대 없다…금융·통신·공공기관 전방위 뚫려
KT 소액결제·서버 침해, 롯데카드 297만명 유출
SKT 전 고객 유심 정보 빠져나가…AI까지 해킹 위협
(서울=연합뉴스) 김경희 기자 = 디지털 세상에서 '절대' 안전한 곳은 있을 수 없다. 문제는 안전한 곳이 있는가로 명제 자체를 바꿔야 하는 세상이 도래하고 있다는 점이다.
수천만건의 개인정보가 철통 보안을 자랑해온 통신사 서버에서 쥐도 새도 모르게 빠져나가고, 소형 통신망을 이용해 내 휴대전화에서 알지도 못하는 결제가 밤사이 이뤄진다.
잘 만들어진 영화 이야기가 아니다. 불과 몇 달 사이 우리 주변에서 벌어졌거나 조만간 벌어질 수 있는 일들이다.
◇ 금융에 통신까지…내 정보 어디까지 새나
21일 정보통신기술(ICT) 업계와 관계 당국에 따르면 최근 몇 년 사이 첨단 수법을 사용하는 해킹 피해가 전방위적으로 발생해 막대한 개인정보 유출 우려가 현실로 다가오고 있다.
특히 '최대·최악의 해킹'으로 회자하는 SK텔레콤 해킹에 이어 최근에는 롯데카드 해킹과 KT[030200] 무단 소액 결제 사태가 나란히 터져 나오며 첨단 범죄에 대한 경각심이 어느 때보다 높아졌다.
연합뉴스 보도로 사태 심각성이 수면 위에 공론화된 KT 소액정보 무단 결제 사건은 중국 국적 용의자들이 불법 초소형 기지국(팸토셀)을 개설해 KT 이용자들의 휴대전화를 해킹, 모바일 상품권 구매, 교통카드 충전 등을 통해 무단으로 현금을 훔쳐낸 사건이다.
KT는 지난 6월부터 ARS 인증을 거친 소액결제를 전수 조사한 결과, 총 362명이 2억4천만원 가량의 피해를 본 것으로 확인됐다고 밝혔다.
이 과정에서 총 4개의 불법 초소형 기지국에서 2만여명이 신호를 수신했고, 이들 기지국 ID를 통해 국제이동가입자식별정보(IMSI)와 국제단말기식별번호(IMEI), 휴대전화 번호가 유출된 정황도 확인했다.
게다가 KT는 이와 별개로 SKT 해킹 사태 이후 진행한 서버 조사에서 4건의 침해 흔적 및 2건의 침해 의심 정황을 발견해 한국인터넷진흥원(KISA)에 18일 보고했다.
보고서 전달 시점이 15일이어서 24시간 이내 신고 규정을 위반, 늑장 신고 비판에도 직면한 상황이다.
롯데카드 역시 960만명 회원의 약 3분의 1에 해당하는 297만명의 회원 정보가 유출된 것으로 뒤늦게 밝혀져 파문이 확산하고 있다.
롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고 금융당국에 신고했으며, 당시 유출 데이터 규모는 1.7기가바이트(GB) 규모에 불과하고 이로부터 보름 가까이 '정보 유출은 없다'는 공지까지 게시했다.
그러나 실제 조사 결과 그 100배가 넘는 200GB의 회원 정보가 유출됐고, 28만명은 연계정보(CI), 주민등록번호뿐만 아니라 카드번호와 유효기간, CVC 번호 등까지 유출된 것으로 확인되며 여론의 뭇매를 맞고 있다.
특히 롯데카드의 경우 MBK파트너스가 2019년 롯데그룹으로부터 회사를 인수한 이후 당장 수익과 직결되는 것이 아닌 보안 관련 투자를 소홀히 한 것 아니냐는 비판이 제기된다.
◇ SKT 최악의 서버 해킹…랜섬웨어 공격도 남 일 아냐
지난 4월에는 SKT 서버가 해킹 공격을 받고 총 2천696만건의 고객 유심 정보가 유출되는 최악의 해킹 사고가 벌어져 전국적으로 큰 파문을 던졌다.
무엇보다 통신사 서버는 광범위한 고객 정보를 보관하는 만큼 유심 복제(심 스와핑)를 포함한 2차 금융 범죄 가능성에 큰 우려가 제기되기도 했다.
해커들은 SKT 내부 네트워크에 침입하기 위해 악성코드를 사용한 것으로 전해지며, SKT는 이미 2022년 2월 이를 발견하고도 신고하지 않아 논란을 가중했다.
개인정보보호위는 지난 8월 사실상 SKT 가입자 대부분의 휴대전화 번호를 포함해 민감 정보가 다수 빠져나간 이번 사태와 관련, 1천348억원의 역대 최대 규모 과징금을 부과한 상태다.
국내 최대 인터넷 서점인 예스24[053280]는 연달아 랜섬웨어 공격의 표적이 되기도 했다.
예스24는 지난 6월 9일 미상의 단체 랜섬웨어 공격으로 5일간 전면 서비스가 마비됐고, 이어 두 달만인 8월 11일 또 다시 랜섬웨어 공격을 받아 7시간 동안 서비스가 중단되는 사태를 겪었다.
업계에선 1차 해킹으로 인한 예스24의 직접적 손실이 약 100억원에 이르고, 해커와 협상 과정에서 수십억원의 자금을 지출했을 것으로 추정하고 있다.
게다가 개인정보 유출이 없었다는 발표와 달리 개인정보보호위 조사 결과 시스템에서 비정상적 회원정보 조회 정황이 발견되며 유출 가능성에 대한 우려도 제기된다.
2023년 1월에는 LG유플러스[032640] 약 30만명의 고객 개인정보가 해킹으로 유출되는 사건이 발생하기도 했다. 유출 정보에는 이름, 휴대전화 번호, 가입일, 이메일 주소 등이 포함됐다.
해커는 시스템 취약점을 이용해 내부 데이터베이스에 침투해 정보를 빼돌렸고, 유출 정보가 다크웹 불법 거래 사이트에서 거래되는 정황이 포착돼 2차 스미싱 및 보이스 피싱 등 우려를 낳기도 했다.
◇ 허술 공공기관 손쉬운 먹잇감…고도화 수법 못 따라가는 방패
공공기관도 해커들의 손쉬운 먹잇감으로 전락했다.
한국인터넷진흥원 자료에 따르면 2023년 기준 공공기관에서 제기된 개인정보 유출 신고 건수는 모두 325만건에 이른다.
전북대에서는 지난해 7월 발생한 해킹으로 학생 및 졸업생을 포함해 약 32만5천명의 개인 정보가 탈취됐고, 2021년부터 23년에 걸쳐서는 북한 해커 조직인 라자루스가 법원 전산망을 장기간 해킹한 것으로 뒤늦게 밝혀져 심각한 파장을 일으켰다.
지난 2월 발생한 한국지능정보사회진흥원(NIA) 개인 정보 유출 사건의 경우 외부가 아닌 내부 직원에 의한 정보 유출이 주요 원인으로 밝혀져 관리 부실이 도마 위에 오르기도 했다.
보안 업계에서는 해킹 수법이 갈수록 지능화·고도화하고 있어 한층 정교하고 전방위적인 예방책을 체계적으로 마련할 필요가 있다고 지적한다.
당장 논란이 된 KT 무단 소액결제 사건만 해도 중국에 뿌리를 둔 거대 범죄조직이 전문가를 동원해 팸토셀을 이용한 기상천외한 사기 수법을 사용했고, 통신사 해킹의 경우 은밀하게 잠입한 해커들의 뿌리를 초기에 차단하지 못해 화를 키웠다.
대용량 클라우드 서버에 대규모 데이터를 보관하는 것이 일반화된 만큼 보안 허점이 노출될 경우 대규모 피해로 이어질 수 있다는 우려도 제기된다.
특히 인공지능(AI) 발전과 함께 이전과 비교할 수 없이 값싸게 고도의 해킹 기술을 손에 넣을 수 있게 됐다는 지적도 나온다.
업종 별로는 최근 몇 년 사이 모조리 정보 유출 사고에 노출된 통신사의 경우 대규모 고객 정보를 관리해야 한다는 업종 특성상 범죄 타깃이 되기 쉽고, 금융권의 경우 민감한 결제·인증 관리의 취약점이 이번에 노출된 것이란 분석을 내놓는다.
kyunghee@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
KT 소액결제·서버 침해, 롯데카드 297만명 유출
SKT 전 고객 유심 정보 빠져나가…AI까지 해킹 위협
(서울=연합뉴스) 김경희 기자 = 디지털 세상에서 '절대' 안전한 곳은 있을 수 없다. 문제는 안전한 곳이 있는가로 명제 자체를 바꿔야 하는 세상이 도래하고 있다는 점이다.
수천만건의 개인정보가 철통 보안을 자랑해온 통신사 서버에서 쥐도 새도 모르게 빠져나가고, 소형 통신망을 이용해 내 휴대전화에서 알지도 못하는 결제가 밤사이 이뤄진다.
잘 만들어진 영화 이야기가 아니다. 불과 몇 달 사이 우리 주변에서 벌어졌거나 조만간 벌어질 수 있는 일들이다.
◇ 금융에 통신까지…내 정보 어디까지 새나
21일 정보통신기술(ICT) 업계와 관계 당국에 따르면 최근 몇 년 사이 첨단 수법을 사용하는 해킹 피해가 전방위적으로 발생해 막대한 개인정보 유출 우려가 현실로 다가오고 있다.
특히 '최대·최악의 해킹'으로 회자하는 SK텔레콤 해킹에 이어 최근에는 롯데카드 해킹과 KT[030200] 무단 소액 결제 사태가 나란히 터져 나오며 첨단 범죄에 대한 경각심이 어느 때보다 높아졌다.
연합뉴스 보도로 사태 심각성이 수면 위에 공론화된 KT 소액정보 무단 결제 사건은 중국 국적 용의자들이 불법 초소형 기지국(팸토셀)을 개설해 KT 이용자들의 휴대전화를 해킹, 모바일 상품권 구매, 교통카드 충전 등을 통해 무단으로 현금을 훔쳐낸 사건이다.
KT는 지난 6월부터 ARS 인증을 거친 소액결제를 전수 조사한 결과, 총 362명이 2억4천만원 가량의 피해를 본 것으로 확인됐다고 밝혔다.
이 과정에서 총 4개의 불법 초소형 기지국에서 2만여명이 신호를 수신했고, 이들 기지국 ID를 통해 국제이동가입자식별정보(IMSI)와 국제단말기식별번호(IMEI), 휴대전화 번호가 유출된 정황도 확인했다.
게다가 KT는 이와 별개로 SKT 해킹 사태 이후 진행한 서버 조사에서 4건의 침해 흔적 및 2건의 침해 의심 정황을 발견해 한국인터넷진흥원(KISA)에 18일 보고했다.
보고서 전달 시점이 15일이어서 24시간 이내 신고 규정을 위반, 늑장 신고 비판에도 직면한 상황이다.
롯데카드 역시 960만명 회원의 약 3분의 1에 해당하는 297만명의 회원 정보가 유출된 것으로 뒤늦게 밝혀져 파문이 확산하고 있다.
롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고 금융당국에 신고했으며, 당시 유출 데이터 규모는 1.7기가바이트(GB) 규모에 불과하고 이로부터 보름 가까이 '정보 유출은 없다'는 공지까지 게시했다.
그러나 실제 조사 결과 그 100배가 넘는 200GB의 회원 정보가 유출됐고, 28만명은 연계정보(CI), 주민등록번호뿐만 아니라 카드번호와 유효기간, CVC 번호 등까지 유출된 것으로 확인되며 여론의 뭇매를 맞고 있다.
특히 롯데카드의 경우 MBK파트너스가 2019년 롯데그룹으로부터 회사를 인수한 이후 당장 수익과 직결되는 것이 아닌 보안 관련 투자를 소홀히 한 것 아니냐는 비판이 제기된다.
◇ SKT 최악의 서버 해킹…랜섬웨어 공격도 남 일 아냐
지난 4월에는 SKT 서버가 해킹 공격을 받고 총 2천696만건의 고객 유심 정보가 유출되는 최악의 해킹 사고가 벌어져 전국적으로 큰 파문을 던졌다.
무엇보다 통신사 서버는 광범위한 고객 정보를 보관하는 만큼 유심 복제(심 스와핑)를 포함한 2차 금융 범죄 가능성에 큰 우려가 제기되기도 했다.
해커들은 SKT 내부 네트워크에 침입하기 위해 악성코드를 사용한 것으로 전해지며, SKT는 이미 2022년 2월 이를 발견하고도 신고하지 않아 논란을 가중했다.
개인정보보호위는 지난 8월 사실상 SKT 가입자 대부분의 휴대전화 번호를 포함해 민감 정보가 다수 빠져나간 이번 사태와 관련, 1천348억원의 역대 최대 규모 과징금을 부과한 상태다.
국내 최대 인터넷 서점인 예스24[053280]는 연달아 랜섬웨어 공격의 표적이 되기도 했다.
예스24는 지난 6월 9일 미상의 단체 랜섬웨어 공격으로 5일간 전면 서비스가 마비됐고, 이어 두 달만인 8월 11일 또 다시 랜섬웨어 공격을 받아 7시간 동안 서비스가 중단되는 사태를 겪었다.
업계에선 1차 해킹으로 인한 예스24의 직접적 손실이 약 100억원에 이르고, 해커와 협상 과정에서 수십억원의 자금을 지출했을 것으로 추정하고 있다.
게다가 개인정보 유출이 없었다는 발표와 달리 개인정보보호위 조사 결과 시스템에서 비정상적 회원정보 조회 정황이 발견되며 유출 가능성에 대한 우려도 제기된다.
2023년 1월에는 LG유플러스[032640] 약 30만명의 고객 개인정보가 해킹으로 유출되는 사건이 발생하기도 했다. 유출 정보에는 이름, 휴대전화 번호, 가입일, 이메일 주소 등이 포함됐다.
해커는 시스템 취약점을 이용해 내부 데이터베이스에 침투해 정보를 빼돌렸고, 유출 정보가 다크웹 불법 거래 사이트에서 거래되는 정황이 포착돼 2차 스미싱 및 보이스 피싱 등 우려를 낳기도 했다.
◇ 허술 공공기관 손쉬운 먹잇감…고도화 수법 못 따라가는 방패
공공기관도 해커들의 손쉬운 먹잇감으로 전락했다.
한국인터넷진흥원 자료에 따르면 2023년 기준 공공기관에서 제기된 개인정보 유출 신고 건수는 모두 325만건에 이른다.
전북대에서는 지난해 7월 발생한 해킹으로 학생 및 졸업생을 포함해 약 32만5천명의 개인 정보가 탈취됐고, 2021년부터 23년에 걸쳐서는 북한 해커 조직인 라자루스가 법원 전산망을 장기간 해킹한 것으로 뒤늦게 밝혀져 심각한 파장을 일으켰다.
지난 2월 발생한 한국지능정보사회진흥원(NIA) 개인 정보 유출 사건의 경우 외부가 아닌 내부 직원에 의한 정보 유출이 주요 원인으로 밝혀져 관리 부실이 도마 위에 오르기도 했다.
보안 업계에서는 해킹 수법이 갈수록 지능화·고도화하고 있어 한층 정교하고 전방위적인 예방책을 체계적으로 마련할 필요가 있다고 지적한다.
당장 논란이 된 KT 무단 소액결제 사건만 해도 중국에 뿌리를 둔 거대 범죄조직이 전문가를 동원해 팸토셀을 이용한 기상천외한 사기 수법을 사용했고, 통신사 해킹의 경우 은밀하게 잠입한 해커들의 뿌리를 초기에 차단하지 못해 화를 키웠다.
대용량 클라우드 서버에 대규모 데이터를 보관하는 것이 일반화된 만큼 보안 허점이 노출될 경우 대규모 피해로 이어질 수 있다는 우려도 제기된다.
특히 인공지능(AI) 발전과 함께 이전과 비교할 수 없이 값싸게 고도의 해킹 기술을 손에 넣을 수 있게 됐다는 지적도 나온다.
업종 별로는 최근 몇 년 사이 모조리 정보 유출 사고에 노출된 통신사의 경우 대규모 고객 정보를 관리해야 한다는 업종 특성상 범죄 타깃이 되기 쉽고, 금융권의 경우 민감한 결제·인증 관리의 취약점이 이번에 노출된 것이란 분석을 내놓는다.
kyunghee@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
