툭하면 털리는 통신사 고객 정보…보안은 '무방비'
수천만 명 개인정보 유출에도 '축소·은폐' 반복
국가 기간망 해킹 위험 상시화…이통3사 신뢰 흔들
(서울=연합뉴스) 최현석 조성미 박형빈 기자 = 올해 들어 이동통신 3사가 연이어 해킹 사고에 휘말리면서 수천만 명의 개인정보가 무방비로 노출된 것으로 드러났다.
일부 통신사는 사고 사실을 뒤늦게 알리거나 축소·은폐했다는 의혹까지 불거져 "국민 정보가 기업 손에 맡겨진 채 아무런 통제도 받지 않는다"는 비판이 제기된다.
◇ SK텔레콤, 전 가입자 해킹에도 "추가 피해 없다"
SK텔레콤[017670]은 지난 4월 사실상 전 가입자(2천324만4천명)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출됐다.
해커는 2021년부터 내부망에 악성 프로그램을 심고, 올해 4월 홈가입자서버(HSS) 데이터베이스에 접근해 고객 전체 정보를 외부로 빼돌렸다.
그러나 SK텔레콤은 해커의 접속을 포착하고도 비정상 통신 여부나 접근통제 정책의 적절성 등을 즉각 점검하지 않았다. 유출 경로와 배후는 여전히 밝혀지지 않았으며, 실제 피해 규모조차 파악되지 않았다.
개인정보보호위원회는 SK텔레콤에 역대 최대 과징금인 1천348억원을 부과했지만 회사 측은 "사후 점검은 완료됐다"며 재발 방지책만 내놨다.
일각에서는 "피해 통보도 늦고, 내부 통제 과정도 공개되지 않았다"며 '사고 축소' 의혹이 제기된다.
◇ KT, '펨토셀 해킹'·'BPF도어 감염' 뒤늦게 인정
KT[030200]는 9월 불법 초소형 기지국(펨토셀)을 악용한 소액결제 피해 사건으로 논란을 일으켰다.
민관합동조사단에 따르면 해커들은 KT망에 불법 펨토셀 20대를 연결해 2만2천여 명의 단말 정보를 탈취했고, 368명에게 약 2억4천만원의 금전 피해가 발생했다.
공격자는 펨토셀을 변조해 KT의 종단 암호화를 해제하고, SMS·ARS 인증정보를 가로챈 것으로 조사됐다.
KT는 초기에 "개인정보 유출은 없었다"고 주장했지만 이후 가입자식별정보(IMSI)와 단말기식별번호(IMEI)가 유출된 사실을 뒤늦게 인정했다.
더 큰 문제는 'BPF도어' 악성코드 감염 사건이다.
KT는 지난해 서버 43대가 이 악성코드에 감염됐음에도 이를 관계당국에 보고하지 않고 자체적으로 삭제·복구 처리한 사실이 드러났다.
당국은 은폐 가능성을 포함해 KT의 보안 관리 체계를 전면 조사 중이다.
한 정보보안 전문가는 "최근의 KT 사태를 보면 국가 기간망 사업자라는 자각이 부족해 보인다"고 지적했다.
◇ LG유플러스, 내부 계정 해킹에도 '이상 없음' 보고
LG유플러스[032640]는 지난 7월 해커 침입 제보를 받고도 한 달 넘게 "사이버 침해 정황이 없다"고 정부에 통보했다가 결국 뒤늦게 해킹 사실을 인정했다.
화이트해커 제보에 따르면 해커들은 외주 보안업체를 통해 내부 계정 정보를 확보하고 LG유플러스의 APPM 서버에 침투했다.
이 과정에서 8천938대의 서버 정보, 4만2천여 개의 계정, 167명 직원의 정보가 유출된 것으로 전해졌다.
문제는 LG유플러스가 침해 의심 정황이 전달된 직후인 7월 31일, 해당 APPM 서버와 연관된 일부 서버를 폐기한 점이다.
LG유플러스는 이후 8월이 되어서야 KISA(한국인터넷진흥원)에 해킹 사실을 신고했으며, 과기정통부는 보고 지연 경위를 조사 중이다.
사실상 전 국민의 개인정보를 보유한 이동통신사가 해커들의 표적이 된 것은 어제오늘의 일이 아니지만, 점점 고도화되는 공격에 제대로 대응하지 못하고 있다는 지적이 나온다.
보안업계에서는 이통사 해킹이 더 이상 예외적 사건이 아닌 상시적 위험으로 자리 잡은 만큼 제도적·기술적 전면 개편이 필요하다고 강조한다.
한 보안업계 전문가는 "통신망 보안은 국가 기반 시설의 핵심인데도 이통사들이 해킹 사고 후 사후 점검 수준에 머물러 있다"며 "보안 체계 전반을 외부 점검과 공적 통제 아래에 두는 방안이 필요하다"고 말했다.
harrison@yna.co.kr csm@yna.co.kr binzz@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
수천만 명 개인정보 유출에도 '축소·은폐' 반복
국가 기간망 해킹 위험 상시화…이통3사 신뢰 흔들
(서울=연합뉴스) 최현석 조성미 박형빈 기자 = 올해 들어 이동통신 3사가 연이어 해킹 사고에 휘말리면서 수천만 명의 개인정보가 무방비로 노출된 것으로 드러났다.
일부 통신사는 사고 사실을 뒤늦게 알리거나 축소·은폐했다는 의혹까지 불거져 "국민 정보가 기업 손에 맡겨진 채 아무런 통제도 받지 않는다"는 비판이 제기된다.
◇ SK텔레콤, 전 가입자 해킹에도 "추가 피해 없다"
SK텔레콤[017670]은 지난 4월 사실상 전 가입자(2천324만4천명)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출됐다.
해커는 2021년부터 내부망에 악성 프로그램을 심고, 올해 4월 홈가입자서버(HSS) 데이터베이스에 접근해 고객 전체 정보를 외부로 빼돌렸다.
그러나 SK텔레콤은 해커의 접속을 포착하고도 비정상 통신 여부나 접근통제 정책의 적절성 등을 즉각 점검하지 않았다. 유출 경로와 배후는 여전히 밝혀지지 않았으며, 실제 피해 규모조차 파악되지 않았다.
개인정보보호위원회는 SK텔레콤에 역대 최대 과징금인 1천348억원을 부과했지만 회사 측은 "사후 점검은 완료됐다"며 재발 방지책만 내놨다.
일각에서는 "피해 통보도 늦고, 내부 통제 과정도 공개되지 않았다"며 '사고 축소' 의혹이 제기된다.
◇ KT, '펨토셀 해킹'·'BPF도어 감염' 뒤늦게 인정
KT[030200]는 9월 불법 초소형 기지국(펨토셀)을 악용한 소액결제 피해 사건으로 논란을 일으켰다.
민관합동조사단에 따르면 해커들은 KT망에 불법 펨토셀 20대를 연결해 2만2천여 명의 단말 정보를 탈취했고, 368명에게 약 2억4천만원의 금전 피해가 발생했다.
공격자는 펨토셀을 변조해 KT의 종단 암호화를 해제하고, SMS·ARS 인증정보를 가로챈 것으로 조사됐다.
KT는 초기에 "개인정보 유출은 없었다"고 주장했지만 이후 가입자식별정보(IMSI)와 단말기식별번호(IMEI)가 유출된 사실을 뒤늦게 인정했다.
더 큰 문제는 'BPF도어' 악성코드 감염 사건이다.
KT는 지난해 서버 43대가 이 악성코드에 감염됐음에도 이를 관계당국에 보고하지 않고 자체적으로 삭제·복구 처리한 사실이 드러났다.
당국은 은폐 가능성을 포함해 KT의 보안 관리 체계를 전면 조사 중이다.
한 정보보안 전문가는 "최근의 KT 사태를 보면 국가 기간망 사업자라는 자각이 부족해 보인다"고 지적했다.
◇ LG유플러스, 내부 계정 해킹에도 '이상 없음' 보고
LG유플러스[032640]는 지난 7월 해커 침입 제보를 받고도 한 달 넘게 "사이버 침해 정황이 없다"고 정부에 통보했다가 결국 뒤늦게 해킹 사실을 인정했다.
화이트해커 제보에 따르면 해커들은 외주 보안업체를 통해 내부 계정 정보를 확보하고 LG유플러스의 APPM 서버에 침투했다.
이 과정에서 8천938대의 서버 정보, 4만2천여 개의 계정, 167명 직원의 정보가 유출된 것으로 전해졌다.
문제는 LG유플러스가 침해 의심 정황이 전달된 직후인 7월 31일, 해당 APPM 서버와 연관된 일부 서버를 폐기한 점이다.
LG유플러스는 이후 8월이 되어서야 KISA(한국인터넷진흥원)에 해킹 사실을 신고했으며, 과기정통부는 보고 지연 경위를 조사 중이다.
사실상 전 국민의 개인정보를 보유한 이동통신사가 해커들의 표적이 된 것은 어제오늘의 일이 아니지만, 점점 고도화되는 공격에 제대로 대응하지 못하고 있다는 지적이 나온다.
보안업계에서는 이통사 해킹이 더 이상 예외적 사건이 아닌 상시적 위험으로 자리 잡은 만큼 제도적·기술적 전면 개편이 필요하다고 강조한다.
한 보안업계 전문가는 "통신망 보안은 국가 기반 시설의 핵심인데도 이통사들이 해킹 사고 후 사후 점검 수준에 머물러 있다"며 "보안 체계 전반을 외부 점검과 공적 통제 아래에 두는 방안이 필요하다"고 말했다.
harrison@yna.co.kr csm@yna.co.kr binzz@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
