반복된 해킹 사태, 드러난 이동통신 3사의 '구조적 보안' 실패

| 스마트에프엔 = 양대규 기자 | 올 한해 대한민국 이동통신 산업에 있어 치명적인 보안 위기의 해였다. SK텔레콤·KT·LG유플러스 등 이동통신 3사가 잇달아 해킹 피해를 입거나 의혹에 휘말리면서, 국가 핵심 인프라의 보안 수준과 기업의 위기 대응 능력이 근본적으로 도마 위에 올랐다. 

업계 관계자들은 사건이 단순 해킹 사고가 아니라 ▲ 내부 거버넌스 붕괴 ▲ 레거시 인프라 방치 ▲ 협력업체 관리 실패 ▲ 규제 공백 등 복합적인 구조적 문제를 드러냈다는 점에서 심각하다고 지적했다.

SK텔레콤, 유심 침해로 전국민 정보 노출

17일 업계에 따르면 SK텔레콤은 올해 4월 밝혀진 유심 해킹 사건은 최소 2021년 8월 시작돼 수년간 탐지되지 않은 채 은밀히 진행됐다. 침입자는 VPN 장비 취약점을 악용해 진입했고, 이후 백도어를 설치해 내부망에서 자유롭게 활동했다. 그 결과 국제모바일가입자식별번호(IMSI)와 전화번호, 유심 인증 키 등 총 25종의 민감 정보가 유출됐다. 규모는 2696만건, 용량으로는 9.7GB에 달해 사실상 SK텔레콤 전 가입자 정보가 털린 셈이다.

무엇보다 충격적인 점은 유심 인증 키를 암호화하지 않고 보관한 사실이다. 경쟁사들은 기본적으로 암호화를 적용했지만, SK텔레콤은 평문 상태로 저장했다. 또한 관리자 계정 정보 역시 다른 서버에 암호화 없이 보관돼 있었다. 이는 국제 권고 기준과 국내 정보보호 관리체계 인증을 정면으로 위반한 조치다. 사태가 드러난 뒤에도 침해 사고 신고 의무를 이행하지 않았고, 조사단의 증거 확보 지시가 내려진 후 일부 서버를 임의로 조치해 포렌식이 불가능한 상태로 제출해 의혹을 키웠다.

정부는 사태의 심각성을 고려해 역대 최대 규모인 1347억원의 과징금을 부과했다. 또한 고객들이 위약금 없이 타사로 이동할 수 있도록 조치하자, 불과 일주일 만에 7만5214명이 이탈했다.

이에 유영상 SK텔레콤 대표는 “정보보호 투자가 곧 기업 경쟁력의 핵심”이라며 "앞으로 5년간 7000억원을 투자해 정보보호 전문 인력을 두 배로 확대하고 보안 기술·시스템 강화에 총력을 다하겠다"고 밝혔다.

KT 소액결제 사기, 레거시 인프라의 함정

KT에서 발생한 소액결제 해킹은 소비자 피해가 직접적이라는 점에서 또 다른 충격을 줬다. 범인들은 ‘펨토셀’이라는 불법 초소형 기지국을 설치해 주변 휴대폰들이 정상 기지국 대신 접속하도록 유도했고, 이를 통해 IMSI 번호를 탈취했다.

피해자는 모두 4G LTE 사용자였다. 5G는 IMSI를 암호화하지만 LTE는 평문으로 노출되기 때문이다. 문제는 이 취약점이 이미 2014년에 학계로부터 지적됐음에도 개선되지 않았다는 점이다.

불법 기지국 접속 이력은 약 1만9000명, 이 중 5561명의 IMSI가 유출됐을 가능성이 있었다. 실제 피해는 278건, 약 1억7000만 원 규모로 집계됐다. KT는 초기에는 “해킹 정황이 없다”며 신고를 지연했다.

이후 여론이 악화되자 전액 보상을 약속하고 무료 유심 교체와 24시간 전담 고객센터 운영 등 사후 조치를 발표했다. 

김영섭 KT 대표는 "관계 당국과 사고 원인을 파악 중이며 모든 역량을 투입해 추가 피해가 일어나지 않도록 기술적 조치를 취하고 피해 고객에게 100% 보상책을 강구하겠다"고 밝혔다. 

KT·LG유플러스, ‘김수키’ 의혹과 공급망 리스크

8월과 9월에는 북한 연계 해킹 조직 ‘김수키’가 KT와 LG유플러스의 내부 정보를 탈취했다는 외신 보도가 나오면서 파장이 일었다. KT의 경우 만료된 SSL 인증서가 유출됐고, LG유플러스는 훨씬 심각했다. 협력사 보안 솔루션 업체 ‘시큐어키’가 해킹당하면서 ▲ 8938대 서버 정보 ▲ 4만2526개 계정 ▲ 직원 167명의 개인정보가 노출됐다.

KT와 LG유플러스는 모두 “직접적인 해킹 정황은 없다”며 의혹을 부인했다. 

LG유플러스 측은 "시큐어키를 통해 유출된 아이디, 패스워드로 현재까지 자사 서버에 침투한 흔적이 발견되지 않았기 때문에 침해 신고를 하지 않았다"며 "패스워드가 일방향 암호화로 복호화가 불가능하기 때문"이라고 설명했다. 

한국인터넷진흥원(KISA)은 이미 화이트해커 제보로 침해 정황을 인지하고 조사를 시도했지만, 두 회사가 신고를 거부했다. 결국 개인정보보호위원회가 직권으로 조사에 착수했다. 이는 규제 기관 간 권한 불균형이 기업의 책임 회피에 이용될 수 있음을 보여줬다.

이동통신사의 반복되는 실패는 구조적 문제인가?

세 건의 사건은 각기 다른 양상을 보이지만 공통적으로 통신사의 구조적 문제를 드러낸다. SK텔레콤은 기본 보안 수칙조차 지키지 못한 내부 거버넌스 붕괴 사례였다. KT는 10년 전부터 알려진 LTE 취약점을 방치한 기술 부채의 결과였다. LG유플러스는 협력업체 관리 소홀이라는 공급망 보안 실패를 드러냈다.

KT의 보안 실패 역사는 2025년 이전부터 반복적으로 나타났다. 2012년  KT의 영업 시스템 전산망이 해킹되어 가입자 873만 명의 이름, 주민등록번호, 전화번호 등 민감한 개인정보가 유출됐다. 더욱 심각한 문제는 KT가 이 사실을 5개월 동안 전혀 인지하지 못하고 있었다는 점이다. 불과 2년 뒤인 2014년 KT는 더 큰 규모의 침해 사고를 겪었다. 해커들은 '파로스 프록시(Parosproxy)'라는 인터넷에 공개된 단순한 웹 취약점 분석 도구를 이용해 1년 동안 KT 홈페이지에서 1200만명의 고객 정보를 빼냈다. 2012년의 대규모 유출을 겪고도 가장 기본적인 보안 강화 조치조차 취하지 않아 사실상 무방비 상태로 또다시 당했다는 점에서 시장에 큰 충격을 주었다.   

KT는 2012년과 2014년 사고 발생 직후, "세계 최고 수준의 보안 인프라를 갖추겠다"고 대대적으로 약속했다. 그러나 2025년 소액결제 사태와 김수키 해킹 의혹은 이러한 약속이 공허한 구호에 그쳤음을 보여준다.

LG유플러스 역시 보안 문제에서 자유롭지 않다. 2023년 1월 LG유플러스는 약 30만 건의 고객 정보가 해킹으로 유출되어 다크웹에서 불법 거래되는 사건을 겪었다. 이 사건 직후, LG유플러스 네트워크는 수차례에 걸친 대규모 디도스(DDoS) 공격으로 인터넷 접속 장애를 일으켜 고객들에게 큰 불편을 초래했다.

이전에도 LG유플러스는 자회사 및 협력사를 통해 개인정보가 유출되는 등 크고 작은 보안 사고를 겪어왔다. 이는 LG유플러스 본사뿐만 아니라 전체 생태계에 걸쳐 취약점을 가지고 있음을 보여준다.   

KT와 LG유플러스 과거 사례들은 공통적으로 '사고 발생 → 대국민 사과 → 대규모 투자 약속 → 시간이 지나면 다시 사고 발생'이라는 부정적인 순환 고리를 보여줬다. 과거의 보안 투자가 근본적인 아키텍처 개선이나 조직 문화의 변화보다는, 당장의 비판을 잠재우기 위한 규제 준수나 홍보성 조치에 치중되었을 가능성을 제기한다

이동통신 3사는 잇따른 해킹 사태 이후 2조4000억원 규모의 보안 투자 계획을 내놨다. 제로 트러스트 아키텍처 도입, CEO 직속 보안 조직 신설 등 구체적인 계획도 발표됐다. 다만 과거에도 사고 직후 막대한 투자를 약속하고도 비슷한 사고가 반복된 전례가 있기에 신뢰는 여전히 부족하다는 지적이 나오고 있다.

이동통신 3사가 이번 위기를 진정한 전환점으로 삼을 수 있을지, 아니면 또다시 공허한 약속으로 끝날지는 향후 몇 년간의 실행으로 증명될 것이다.