[통신보안 위기] ①전방위 해킹 노출…국가 안보 뇌관

초고속 5G 강국을 자부해온 한국이 지금 '사이버 위기'의 한가운데 서 있다. '최대·최악의 해킹'으로 불린 SK텔레콤 사태에 이어 KT 무단 소액결제 사건까지 터지며, 국내 통신망은 더 이상 안전지대가 아님이 드러났다. 최근 6년간 기업이 신고한 사이버 침해사고만 7000건을 넘긴 가운데, 전문가들은 "사이버 공격은 이제 기업 리스크가 아니라 국가 안보의 뇌관"이라고 경고한다. 본지는 이번 기획을 통해 연쇄 해킹 사태의 전말과 구조적 허점을 짚고, 우리 정부와 사회가 점검·보완해야 할 해법을 분석해 본다.<편집자 주>

SK텔레콤 대규모 해킹에 이어, 최근 KT의 무단 소액결제 사건이 잇따라 터지며 이동통신사가 전례 없는 보안 위기 상황에 직면했다.

'국가 통신망의 중추'로 불리는 이통사들을 중심으로 발생한 보안 사건은, 통신망 설계와 관리 체계의 취약성을 드러내며 한국 통신 보안의 근본적 문제를 적나라하게 보여준 불명예적 사례로 남게 됐다. 

신뢰 회복이 시급한 핵심 과제로 떠오른 통신사들은 인공지능(AI) 기반의 신사업 뿐 아니라, 기업·소비자(B2B·B2C) 서비스의 안정적 제공을 위해 안전성을 담보할 과감한 보안 조치와 예방 체계 구축에 힘써야 한다는 지적이 나온다.

■연이은 보안 사건사고…업계 전체 불안감 '증폭'

올해는 '통신사 보안 수난의 시대'라 해도 과언이 아니다. 지난 4월 터진 SKT 해킹은 홈가입자서버(HSS) 내 음성인증장비가 뚫리면서 전화번호·IMSI·인증키 등 민감한 유심 데이터가 유출됐다. 특히 IMSI는 암호화조차 돼 있지 않아 논란이 확산됐다. 업계에서는 1위 사업자가 '최소한의 방어선'조차 구축하지 않았다는 비판도 일었다. 유심 복제 등 2차 금융범죄 우려도 거셌다.

SKT는 이미 2022년 2월 해킹 징후를 발견했지만 즉시 신고하지 않았고, 개인정보보호위는 이번 사태로 가입자 대부분의 휴대전화 번호가 빠져나갔다며 역대 최대인 1348억원의 과징금을 부과했다.

뒤이은 KT 사건은 불법 개조된 초소형 기지국(펨토셀)을 통해 이용자 휴대폰이 해킹돼 소액결제가 무단으로 이뤄진 충격적 사례다. 해커는 불법 기지국을 망에 연결해 단말기의 IMSI·IMEI·휴대전화 번호를 탈취했고, 모바일 상품권 구매·교통카드 충전 등 현금화에 활용했다. 피해자들은 KT 통신망을 이용 중이었으며 자신도 모르는 사이 결제가 발생했다.

KT는 지난 6월부터 ARS 인증 결제를 전수 조사한 결과, 총 362명이 2억4000만원 피해를 입었다고 밝혔다. 불법 기지국 4곳에서 2만여명이 신호를 수신한 것으로 드러났으며 피해 지역도 서울 금천·광명에 국한되지 않고 서울 남부 전역에서 확인됐다.

게다가 KT는 이와 별개로 SKT 해킹 사태 이후 진행한 서버 조사에서 4건의 침해 흔적 및 2건의 침해 의심 정황을 발견해 한국인터넷진흥원(KISA)에 지난 18일 보고했다. 보고서 전달 시점이 15일인 만큼, 24시간 이내 신고 규정을 위반해 늑장 신고 비판에도 직면한 상황이다.

이와 관련 염흥열 순천향대 정보보호학과 교수는 "국가 기간통신사업자에 보안 구멍이 생기면 커다란 타격을 주고 전체 사이버 신뢰가 망가지는 연쇄 파급효과를 낸다"며 "일반사업자와 달리 국가 기반시설 운영사업자에 현재 체계가 계속 적용돼야 하는지에 대한 검토가 필요하다"고 말했다.

■ 6년간 7000건 돌파, 사이버 보안 적신호

사이버 침해사고는 이미 위험 수준에 도달했다. 국회 과방위 소속 더불어민주당 황정아 의원이 KISA로부터 제출받은 자료에 따르면 2020년부터 올해 9월 14일까지 당국에 신고된 기업 침해사고는 7198건이다.

연도별로는 2020년 603건, 2021년 640건에서 2022년 1142건으로 급증했고, 2023년 1277건, 2024년 1887건으로 늘었다. 올해는 9월 기준 1649건으로 이미 지난해 수준에 근접했다.

기업 규모별로는 중소기업이 82%(5907건)로 압도적 비중을 차지했고, 중견기업 592건, 대기업 242건, 비영리기업 457건 순이었다. 대기업의 건수는 적었지만 보유 고객 규모가 큰 만큼 피해 파급력은 막대하다.

유형별로는 시스템 해킹이 4354건(60.5%)으로 최다였고, 악성코드 감염·유포가 1502건(20.9%), 디도스 공격이 1342건(18.6%)을 차지했다. 특히 시스템 해킹 비중은 2020년 41.4%에서 2023년 72.8%로 치솟았다.

황 의원은 "사이버 보안은 이제 기술 문제가 아닌 국가 안보 문제"라며 "KT 사태처럼 은폐·축소가 드러날 경우 징벌적 제재를 강화하고, 동시에 기업의 적극적 대응을 지원해 제도적 기반을 마련해야 한다"고 강조했다.

■"첨단망 구축했지만…보안은 구멍"

한편 전문가들은 "해킹은 더 이상 특정 기업만의 위기가 아니라, 국가 인프라 전반을 마비시킬 수 있는 안보 위협"이라고 지적한다.

한국은 세계 최고 수준의 초고속 통신망과 모바일 생태계를 갖췄지만, 정작 보안 체계는 여전히 허술하다는 평가다. 특히 국가 첨단 기술 경쟁력과 안보를 동시에 위협하는 중대한 리스크라며 전방위적 보안 체계 재정립이 불가피하다고 경고하고 있다. 

김승주 고려대 정보보호대학원 교수는 최근 유튜브 방송 '언더스탠딩'에 출연해 "SKT 사건은 망분리 신화를 무너뜨린 사례이고, KT 사건은 불확실성만 키운 사건"이라며 "정작 더 큰 문제는 행정안전부·외교부 등 정부기관 해킹이 외면되고 있다는 점"이라고 지적하기도 했다.

관련 업계 관계자는 "보안 위기는 더 이상 개별 회사 문제가 아니라 업계 전체의 신뢰를 흔드는 심각한 사안"이라며 "국가 기반시설을 운영하는 사업자라는 책임감을 갖고 보안 투자와 선제적 위협 대응을 강화해야 한다"고 설명했다.