[2025결산] 통신·플랫폼·게임까지 뚫린 한국 IT 보안
SKT·KT·LGU+·롯데카드·넷마블·쿠팡 잇단 유출
개인정보 관리 부실·과도한 수집 관행 도마
(서울=연합뉴스) 조성미 기자 = 한국 정보기술(IT) 업계에는 '홀수 해 징크스'라는 게 있다.
대형 사이버 보안 사고가 2009년, 2011년 등 유독 홀수 해에 몰려 일어나서 생긴 말인데 올해도 예외가 아니었다.
◇ 통신·금융까지 번진 연쇄 해킹
그 시작은 지난 4월 말 SK텔레콤[017670]이었다. 해커가 서버에 침투해 심은 악성 코드에 이용자들의 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 주요 정보가 유출된 사실이 뒤늦게 알려지면서다.
결과적으로 이들 핵심 개인 정보가 유출된 데 따른 금전적인 피해는 일어나지 않았지만, 사태 당시 삼성전자[005930], 국가정보원 등에서 유심 교체가 필요하다는 지침을 내리면서 일반 가입자들의 불안도 크게 확산했다.
무엇보다 개인정보 유출 규모가 사실상 고객 전체인 2천324만여명에 달하면서 국민 절반의 정보가 새어 나갔다는 허탈감도 컸다.
이어 지난 6월에는 국내 최대 규모의 인터넷서점 예스24[053280] 서비스가 랜섬웨어 공격으로 먹통이 되면서 책 주문·공연 예매 등 각종 기능이 마비됐다. 기능을 일부 복구하는 데만 닷새가 걸려 이용자들이 큰 불편을 겪었다.
이 업체가 공격에 대비해 주요 데이터를 외부 저장소, 클라우드 등에 저장하는 별도 백업 체계를 구축하지 않은 점이 사태 해결을 어렵게 한 원인으로 지적됐다.
국민이 일상적으로 사용하는 인터넷서점·공연 예매 서비스치고 기본적인 보안 체계 마련에 소홀했다는 이야기다.
SGI서울보증도 비슷한 종류의 랜섬웨어 해킹을 당하면서 주택담보대출, 전세대출, 휴대전화 할부 개통 등의 보증 업무에 심각한 차질이 빚어졌다.
SK텔레콤 해킹 사태 이후 다른 통신업계의 보안도 취약하다는 의혹이 떠올랐지만, 당시 기업이 스스로 신고하지 않으면 당국이 사이버 침해 사고를 조사할 권한을 갖지 못했던 터라 KT·LG유플러스[032640]는 '침해 사실이 없다'고 맞섰다.
하지만 9월 초 경기도 광명시의 특정 아파트 단지에 거주하는 KT[030200] 가입자 20여명이 새벽 시간대 자신이 하지도 않은 소액결제 피해를 본 일이 알려지며 통신업계 해킹 사태는 전환점을 맞았다.
◇ KT·LGU+·롯데카드까지…경영진 흔든 보안 사고
사건 초기에는 집단으로 피싱 피해를 본 것 아니냐는 의구심도 대두됐지만, 민관 합동 조사 결과 KT가 핵심 통신망을 해킹당했다는 사실이 드러났다.
KT는 실내 통신을 원활히 하기 위해 초소형 기지국(펨토셀)을 다수 사용했는데 인증 아이디 등을 부실하게 관리하면서 2만2천227명이 초소형 기지국 불법 접속에 노출됐고 362명이 무단 소액결제를 당했다.
펨토셀 이동 등에 가담한 중국인 교포 피의자는 검거됐지만, 중국에 근거지를 둔 윗선의 행방은 여전히 오리무중이어서 사건의 진상은 아직 온전히 드러나지 않은 상태다.
LG유플러스도 서버 계정 권한 관리 시스템(APPM)이 사이버 침해를 당한 것으로 지목되자 서버 운영체제(OS) 업데이트를 실시해 관련 흔적을 지우려 했다는 의혹이 불거져 당국 조사가 진행 중이다.
KT 해킹과 같은 시기 롯데카드 고객 297만명의 개인정보가 유출된 사건이 터지면서 국민 불안이 증폭되기도 했다.
카드 비밀번호와 CVC 등 부정 결제에도 악용될 수 있는 민감한 개인정보 일부가 암호화되지 않거나, 암호가 풀린 상태로 빠져나갔다.
KT는 해킹 사태 여파로 김영섭 대표가 연임 도전에 나서지 않게 됐고, 롯데카드는 조좌진 대표가 사임하는 등 사이버 보안 이슈가 기업 경영 구도를 흔들기도 했다.
◇ 넷마블·쿠팡도 뚫렸다…개인정보 유출 '현재진행형'
최근 넷마블[251270]에서 611만명의 개인정보 유출이 일어나 게임업계도 안전지대가 아님이 드러났다.
이어 쿠팡에서 고객 계정 약 3천370만개 정보가 중국인 전 개발자 직원 손에 털리면서 '탈팡' 운동과 국내외 소송전에 불이 붙고 있다.
올해 마지막까지 해킹과 개인정보 유출이 한국 사회를 달구고 있는 셈이다.
개인정보보호위원회 출범 이후 최대 규모의 과징금 기록을 1천347억9천만원을 부과받은 SK텔레콤이 해킹 사태로 갈아치웠는데, 지난해 매출 41조 원의 쿠팡이 이마저 갱신할 가능성이 크다.
익명을 요구한 보안업계 관계자는 "사고가 터졌을 때만 보안을 강조하다가 잊을만하면 기본적인 보안 조치 마련에 소홀했던 관행이 쌓이면서 올해 큰 사고가 잇따랐던 것 같다"고 분석했다.
보안업계에서는 보안 인력에 대한 대우를 높이고 화이트해커 양성화를 위한 법령 개정, 최고경영자(CEO)가 사이버 침해 사고에 직접 책임지는 구조가 고착화돼야 고질적인 해킹 사태가 잦아들 것으로 예상한다.
우리나라 기업이 지나치게 많은 개인정보를 요구하고, 관리에 소홀한 근본적인 구조를 뜯어고쳐야 한다는 쓴소리도 나온다.
문송천 카이스트 경영대 명예교수는 "우리나라는 주민등록번호에 모든 민감한 개인 정보가 융합돼 있고, 공권력만 이를 활용하도록 한 영국 등과 달리 민간 기업까지 수집하면서 해킹과 개인정보 유출의 표적이 되고 있다"고 지적했다.
문 교수는 "미국에서도 기업 해킹은 자주 일어나지만, 우리나라처럼 개인정보가 자주, 대규모로 털리진 않는다"라며 "기업이 개인정보 보호를 제대로 하지 못할 거면 지나치게 많은 정보를 요구, 보관하지 말아야 한다"고 지적했다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>