![KT 주요 경영진들이 불법 소액결제 사고에 대해 사과하고 있는 모습. (왼쪽부터) 네트워크부문장 서창석 부사장, 김영섭 대표, Customer부문장 이현석 부사장. [출처= KT]](https://cdn.ebn.co.kr/news/photo/202509/1679501_696624_4621.jpg)
초고속 5G 강국을 자부해온 한국이 지금 '사이버 위기'의 한가운데 서 있다. '최대·최악의 해킹'으로 불린 SK텔레콤 사태에 이어 KT 무단 소액결제 사건까지 터지며, 국내 통신망은 더 이상 안전지대가 아님이 드러났다. 최근 6년간 기업이 신고한 사이버 침해사고만 7000건을 넘긴 가운데, 전문가들은 "사이버 공격은 이제 기업 리스크가 아니라 국가 안보의 뇌관"이라고 경고한다. 본지는 이번 기획을 통해 연쇄 해킹 사태의 전말과 구조적 허점을 짚고, 우리 정부와 사회가 점검·보완해야 할 해법을 분석해 본다.<편집자 주>
상반기 SK텔레콤과 예스24에 이어 최근 KT와 롯데카드에서도 해킹으로 개인정보가 새나갔다. 이름도 생소한 '초소형 기지국(펨토셀)', 웹셸(해커가 원격으로 서버를 조종하기 위해 만든 프로그램) 등이 해킹에 동원됐다. 신종 해킹 수법에 '정보기술(IT) 강국'. '인공지능(AI) 3대 강국'을 자부하던 우리나라의 통신·금융 보안이 속수무책으로 뚫렸다.
23일 IT업계 등에 따르면 KT의 불법 소액결제 사건 용의자들은 KT 이동통신 기지국으로 위장한 펨토셀 장비를 승합차에 싣고 다니며 KT 가입자들의 개인정보를 빼낸 혐의를 받고 있다. 유출된 정보는 가입자 식별 번호(IMSI)와 단말기 고유 식별 번호(IMEI), 휴대전화 번호 등이다
KT는 지난 18일 "피해 고객 수가 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 증가했다"고 밝혔다.
이번 KT 사태가 특이한 것은 이용자 정보가 저장돼 있는 서버에 직접 침투한 것이 아니라, 불법 펨토셀을 통해 망 외부에서 정보를 빼냈다는 점이다.
초소형 기지국인 펨토셀은 휴대전화가 잘 연결되지 않는 건물이나 지역에 설치돼, 이용자의 휴대전화를 통신사의 네트워크에 연결해 주는 신호 증폭기 역할을 한다. 용의자들은 휴대전화가 연결될 때 근처의 신호가 강한 펨토셀에 자동으로 붙는 점을 악용해 정보를 빼간 것으로 보인다.
다만, 용의자들이 빼간 IMSI와 IMEI, 휴대전화 번호만으로는 불법 소액결제를 하기 어렵다는 게 업계의 중론이다. 추가 정보 유출이 의심되는 대목이다.
더구나 KT는 "18일 오후 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 흔적 네 건과 의심 정황 두 건을 신고했다"고 밝혔다. KT는 "소액결제 사건과는 성격이 다른 부분으로 보고 있다"며 서버에서의 개인정보 유출 가능성을 일축했다. 그러나 아직 구체적인 불법 소액결제 방법이 드러나지 않아 철저한 조사가 필요할 것으로 보인다.
![조좌진 롯데카드 대표가 지난 18일 서울 중구 부영태평빌딩에서 열린 기자회견에서 최근 발생한 해킹 사건에 대한 경위를 설명하고 있다. [출처=EBN]](https://cdn.ebn.co.kr/news/photo/202509/1679501_696625_4714.jpg)
롯데카드는 악성코드에 당했다. 롯데카드는 회원 960만명 중 297만명의 정보가 해킹으로 유출됐다고 밝혔다. 조좌진 롯데카드 대표는 "28만명은 유출 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객"이라며 "유출 정보는 카드 번호, 비밀번호, 유효 기간, CVC 번호 등"이라고 했다. 카드 결제할 때 필요한 모든 정보가 다 털린 고객이 28만명이나 된다는 얘기다.
롯데카드는 3개 서버에서 2종의 악성코드와 5종의 웹셸(해커가 원격으로 서버를 조종하기 위해 만든 프로그램)이 발견된 것으로 파악됐다. 생소한 웹셸에 가입자 3분의 1의 정보가 빠져 나갔다.
문제는 롯데카드가 해킹 사고 규모를 축소하려는 정황이 있었다는 점이다. 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고 금융당국에 신고한 바 있다.
당시 유출 데이터 규모는 1.7기가바이트(GB) 규모에 불과하고 '정보 유출은 없다'는 공지까지 게시했다. 그러나 실제 조사 결과는 달랐다. 실제로는 100배가 넘는 200GB의 회원 정보가 유출됐다.
특히, 롯데카드는 사모펀드인 MBK파트너스가 지난 2019년 인수한 이후 이익이 아니라 비용으로 인식되는 보안 투자와 관리에 소홀한 것 아니냐는 지적이 나온다.
상반기 발생한 SK텔레콤 해킹 사고는 '단군 이래 최대 해킹 사고'로 꼽힌다. SK텔레콤은 지난 4월 해킹으로 총 2696만건의 고객 유심 정보가 유출된 바 있다.
SK텔레콤도 악성코드에 당한 것으로 파악됐다. 2021년 8월에 처음 관리가 부실했던 1대의 서버를 감염시키고 나아가 시스템 관리망의 서버를 추가로 감염시킨 것으로 알려졌다. 총 4만2605대의 서버 중 28대에서 33종의 악성코드가 확인됐다.
이와 관련해 개인정보보호위는 지난 8월 SK텔레콤에 1348억원의 역대 최대 규모 과징금을 부과했다.
국내 최대 인터넷 서점인 예스24는 두 달 간격으로 랜섬웨어 공격에 직격탄을 맞았다. 첫 번째로 6월 9일 미상의 단체 랜섬웨어 공격으로 5일간 서비스가 전면 마비되는 초유의 사태가 발생했다. 두 달 후인 8월 11일에 또 랜섬웨어 공격을 받아 7시간 동안 서비스가 먹통이 됐다.
예스24가 1차 해킹으로 약 100억원에 달하는 직접적 손실을 입었을 것으로 업계에서는 추정하고 있다. 게다가 해커와 협상 과정에서 수십억원의 비용을 지급했을 것이란 관측이 나온다.
미디어 업계에서는 해킹 수법 진화와 속도가 빨라진 만큼 정부와 산·학·연이 합동으로 대응하는 근본적인 대책이 필요하다는 지적이 나온다. 특히 AI 발달로 누구나 해킹 코드를 짤 수 있고 저렴한 가격에 고급 해킹 기술을 획득할 수 있다는 우려도 제기되고 있다.
