계속된 개인 정보 유출 사고로 소비자들의 원성이 높아지고 있다. 올해 들어 통신사, 금융권, 전자상거래 등 분야를 가리지 않고 연이은 해킹 사고가 발생함과 더불어 그 규모 또한 대형화되는 추세다. 보안 업계는 사이버 공격이 증가한 이유로 기업의 디지털 전환 가속화, AI를 활용한 공격 기술 고도화, 국가 주도 해킹 증가, 시스템 취약점 방치 등을 주요 요인으로 지목한다. 해킹이 한 번 발생하면 금융범죄 등 2차, 3차 피해까지 확산될 수 있어 각별한 주의가 필요하다. ‘대해킹의 시대’에서는 각 산업별로 해킹 원인과 대응방안, 재발방지 대책 등을 짚어보고자 한다. 

▲ 서울 강남구 양재동의 SKT 대리점에 유심을 교체하고자 많은 고객이 몰린 모습.   © 문화저널21 DB

SKT 이어 KT도 해킹…소액결제 피해 1억7000만원

개인정보 유출 부인하다가 5500여명 유출 인정

국내 첫 불법 초소형 기지국 악용 정황

SKT의 사상 최대 규모 개인정보 유출 사고의 충격이 가시기도 전에 KT 해킹 사고가 세간을 떠들썩하게 하고 있다. 소액결제 해킹으로 12일 기준 총 278건, 약 1억 7000만 원 규모의 피해가 발생한 것. 

이번 사건은 피해자들의 소액결제 피해 신고가 잇따라 이어지면서 수면 위로 드러났다. 지난달 27일부터 휴대전화를 이용한 모바일 상품권 구매, 교통카드 충전 등 명목으로 수십만 원이 빠져나갔다는 내용으로 경찰에 신고가 이뤄졌고, 피해는 경기 광명과 서울 금천구 인근 등 특정 지역에 집중됐다. 

사건 초반에는 소액결제만 이뤄진 것으로 확인됐지만 결국 개인정보 유출도 일어난 것으로 확인됐다. KT는 지난 10일까지 개인정보 유출은 없었다고 선을 그었지만 다음날인 11일 오후, 5561명의 개인정보 유출 사실을 파악했다며 입장을 뒤집었다. 회사는 자체 조사 결과 일부 이용자의 가입자식별정보(IMSI)가 유출된 정황을 확인했다며 개인정보보호위원회에 신고했다고 밝혔다. IMSI는 가입자마다 부여된 고유의 번호로 유심(USIM)에 저장되는 개인정보에 해당한다.

KT 사태가 주목받는 이유는 ‘신종 해킹 수법’ 때문이다. 해외에서 몇 차례 시도된 적은 있지만 국내에서는 처음 확인된 ‘불법 초소형 기지국’을 이용한 것으로 추정되고 있다. 

불법 기지국 의혹이 처음 제기된 것은 피해자 통화 이력에서 해커가 불법으로 설치한 것으로 보이는 ‘미상의 기지국’ ID가 발견되면서다. 이용자가 해당 지역에 들어오면 자동으로 휴대전화가 접속되고 소액결제가 이뤄지는 방식이다. 

전문가들은 초소형 기지국 제작에 '펨토셀'이라는 장비가 악용된 것으로 보고 있다. 펨토셀은 반경 10m 통신을 제공하며 가정·사무실 등 전파가 약한 지역의 통신 품질을 높이는 장비이지만 보안 관리가 허술하면 데이터 탈취 통로로 악용될 수 있다는 우려가 제기돼 왔다. 전문가들은 이번 사건이 초소형 기지국을 악용한 해외 유사 사례보다 훨씬 고도화된 범행 수법이라고 평가한다. 

민관 합동조사단은 불법 기지국이 어떻게 KT 핵심망에 접속했는지, 어떤 방식으로 무단 결제가 이뤄졌는지, 어떤 정보가 탈취됐는지 등을 추가 조사하고 있는 것으로 알려졌다. 업계에선 내부자 소행, 와이어(대리점에서 본사로 가는 통신선) 탈취 등 여러 가능성이 거론되고 있다. 

▲ 김영섭 KT 대표 (자료사진) / KT 제공

유심 무료 교체·보호서비스로 피해 구제 나선 KT

전문가들 "사후 조치보다 선제적 대응 프로세스 고도화해야"

통신 3사 전반 보안 관리 도마 위

11일 KT의 신고 접수를 받은 개인정보위는 KT의 무단 소액결제 사태와 관련한 개인정보 유출 신고를 접수하고 경위 파악에 착수했다. 위원회는 구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등을 확인하고 법 위반이 발견됐을 경우 관련 법령에 따라 처분할 예정이다. 

KT도 뒤늦게 대응에 나섰다. 회사는 11일 오후 개인정보 유출이 의심되는 이용자들에게 개보위에 신고한 사실과 피해 사실 여부 조회 방법, 유심 교체 신청 및 보호서비스 가입 링크에 대해 문자 메시지(SMS)로 안내했다.

또 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원의 유심을 무료 교체하고 유심 보호 서비스를 제공할 방침이다. KT는 충분한 유심 물량을 확보했다고 밝혔다.

앞서 KT는 지난 5일 새벽부터 비정상적인 소액결제 시도를 차단했고 현재까지 추가 피해는 확인되지 않았다고 밝혔다. 소액결제 한도를 기존 100만 원에서 10만 원으로 줄이고 24시간 전담 고객센터를 운영하는 등 고객 피해 최소화에 노력도 기울이고 있다. 이번 피해 금액도 고객에게 청구하지 않겠다는 방침을 세웠다. 

다만 구체적인 재발 방지책은 민관합동조사단의 조사 결과가 나온 뒤 구체화될 전망이다. 전문가들은 근본적 재발 방지를 위해 대응 프로세스 고도화 등 기술적 업그레이드가 병행돼야 한다고 입을 모은다. AI와 자동화 기술이 공격 수단으로 활용될 경우 파급력이 훨씬 커질 수 있어 지금의 대응 수준으로는 고도화하는 위협을 막기 어렵다는 지적이다. 

주요 인증 서버와 기간통신망을 ‘주요정보통신기반시설’로 지정하는 등 국가 차원의 관리 강화, 통신사 내부 보안 투자 확대, AI·빅데이터 기반 이상 징후 분석 시스템 개발이 함께 필요하다는 주장이 나온다. 

아울러 재발방지 대책과 함께 신속하고 투명한 사고 대응으로 피해를 최소화해야 한다는 지적도 나온다. KT와 SK텔레콤 모두 사건 인지 후 늑장 대응으로 비판을 받았다. 

KT는 지난 2일 경찰로부터 연쇄 소액결제 피해가 발생하고 있다는 고지를 받고도 “KT는 뚫릴 수 없다”는 답변을 했고 보도로 사건이 알려진 뒤인 5일에서야 차단 조치에 나섰다. 사건 인지 후 일주일 넘게 개인정보 유출 정황이 없다고 단언한 후, 개인정보 유출을 시인하면서 ‘늑장 신고’ 논란은 더욱 거세질 전망이다.

SK텔레콤도 지난 4월 19일 내부적으로 해킹 사실을 확정하고도 관계 기관 신고를 20일과 22일로 미뤄 법정 신고 기한을 위반했다는 비판을 받았다. 유심 교체 등에 대한 가입자 안내도 늦어 고객 불만을 키우기도 했다.

한편, LG유플러스도 개인정보 불법 유출 의혹에서 자유로울 수 없다는 의혹이 제기됐다. 지난달 미국의 보안전문지 프랙(Phrack)은 최근 북한 정찰총국 소속으로 추정되는 해커 조직 ‘김수키’가 KT와 LG유플러스를 해킹했다는 정황을 공개한 바 있다. 개보위는 지난 10일 "KT와 LG유플러스의 유출 의혹에 대한 조사에 돌입했다"며 "구체적인 사건 경위 및 개인정보 유출 여부 등을 집중적으로 확인할 예정'이라고 밝혔다.

문화저널21 이정경 기자