[디지털데일리 강소현기자] 올해 연쇄적인 사이버 공격이 국내 주요 기업들을 강타했다. SK텔레콤과 KT, 롯데카드, 예스24(YES24) 등 해킹에 의한 개인정보 유출 사고가 산업 분야를 가리지 않고 발생하고 있는 가운데, 그 빈도는 전례를 찾기 어려울 정도라는 평가다.

피해 규모보다도 논란이된 건 기업들의 대응 수준이었다. 상당수 기업이 정보보호 및 개인정보보호 관리체계 인증인 'ISMS-P'를 받았음에도 해킹을 제때 인지하지 못하였거나, 정황이 확인되고도 자발적 신고를 하지 않은 사례가 이어졌다. 이에 따라 보안 인증 제도 등 관련 제도의 실효성에 대한 근본적인 의문도 제기되고 있다.

◆ 해킹사실 한달 뒤 인지한 KT, 사고 축소·은폐 의혹 도마에

올해 발생한 보안사고 중 가장 파장이 컸던 곳은 KT였다. 피해 고객은 362명, 피해액은 2억4000만원으로 집계됐는데, 이는 당초 발표보다 크게 늘어난 수치였다. 축소·은폐 의혹이 불거진 이유다.

국회 과학기술정보방송통신위원회 청문회에서도 KT의 늑장 대응과 축소 의혹이 집중 추궁됐다.

특히 사고의 최초 발생이 대중에 알려진 시점보다 한 달이나 앞섰던 사실이 드러나면서, 국회 과방위 소속 황정아 의원(더불어민주당)은 해당 의혹을 제기하면서 “8월5일부터 이상 신호가 있었는데 KT의 축소·은폐 시도로 피해가 커졌다. 막대한 경제적 제재를 가해야 재발 방지가 가능할 것으로 보인다”라고 목소리를 높였다.

더욱이 최근 KT가 미국 보안 전문지 '프랙'이 제기한 해킹 정황에 대해 KISA에 ‘침해 사실이 없다’고 밝혔으나, 내부적으로는 외부 업체로부터 원격상담서비스 서버 해킹 의심 정황을 보고받은 사실도 알려졌다.

‘프랙’이 해킹 정황을 제기한 서버를 KT가 폐기한 사실도 확인되면서 의혹은 더욱 커졌다. 과기정통부는 이날 KT가 폐기한 서버 중 하나와 ‘프랙’이 언급한 서버 간 연관성을 조사 중이라고 밝혔다.

KT의 보안 관리 부실도 도마에 올랐다. 해커가 공격에 활용한 것으로 의심되는 ‘펨토셀’ 장비가 허술하게 관리돼, 사실상 가짜 기지국처럼 KT의 코어망에 접속했을 가능성이 제기됐다. SK텔레콤과 LG유플러스는 가짜 기지국에 대한 자동 차단 시스템을 운영 중인 반면, KT는 이런 장치가 없어 피해 확산을 막지 못한 것으로 확인됐다.

◆ 1위 사업자도 대규모 개인정보 유출…IMSI·유심키 암호화 안한 SKT

KT에 앞서 지난 4월 SK텔레콤의 대규모 개인정보 유출 사고를 겪었다. 9.7기가바이트(GB) 분량에 달하는 고객 데이터가 유출됐는데, 여기엔 고객의 유심(USIM) 관련 정보도 포함된 것으로 알려져 우려를 키웠다.

무엇보다 SK텔레콤 사고 건은 악성코드 최초 설치 시점이 2022년 6월로 알려져 충격을 줬다. 이 사고가 대중에 알려진 시점은 4월22일 한 언론매체를 통해서였는데, 이는 국내 1위 이동통신사인 SK텔레콤이 무려 3여년 동안 해킹 사실을 인지하지 못한 셈이기 때문이다.

조사 과정에서 보안의 허술함도 드러났다. 임시 서버의 취약점을 노린 웹셸 공격에 당한 것으로 알려진데다, 가입자식별번호(IMSI)와 인증키가 암호화되지 않은 상태로 관리되고 있었다.

특히 IMSI가 암호화되어 있지 않았던 부분도 대중에 실망을 안겼다. SK텔레콤은 “암호화가 안 돼 있도록 하는 것이 3GPP 표준”이라는 입장인 반면, 업계에선 1위 이동통신 사업자가 ‘최소한의 방어선’ 조차 구축해두지 않았다고 꼬집었다. IMSI 뿐 아니라, 인증키도 암호화되어 있지 않았었기 때문이다. 인증키만 암호화되어 있어도 유심 복제에 대한 고객 우려를 막을 수 있을 것이라는 지적이다.

◆ 전방위 해킹 공격에 업계 비상…"정부, 정보보호 관리체계 구축 지원해야"

보안사고는 특정 사업군에 국한되어 발생하지 않았다. 올초에는 취업포털인 인크루트에서 해킹에 따른 외부 공격으로 이름·생년월일·휴대전화번호 등 이용자 개인정보가 유출됐는데, 취업을 위해 상대적으로 구체적인 정보를 입력해야 하는 취업포털의 특성상 유출 시 큰 2차 피해가 발생할 수 있어 우려를 키웠다.

올해는 유통업계에서도 해킹에 따른 개인정보 유출 사고가 잇달아 발생했다. 지난 1월 GS리테일에서 편의점 GS25 회원 약 9만명의 개인정보가 유출된 정황이 포착됐다. 이후 추가 조사 과정에서 지난해 6월 21일부터 지난 2월13일까지 홈쇼핑 업체 GS샵에서도 약 158만건의 고객 개인정보가 유출된 점이 확인됐다. 지난 3월엔 아웃도어브랜드인 블랙야크의 홈페이지가 해커의 공격을 받아 약 34만명의 개인정보가 유출된 일도 있었다.

명품 브랜드도 예외는 없었다. 지난 5월 글로벌 명품 브랜드인 아디다스와, 루이비통모에헤네시(LVMH) 산하 디올·티파니앤코에선 해킹으로 일부 고객의 데이터가 유출된 정황이 포착됐다. 특히, 디올과 티파니앤코는 각각 1월과 4월에 사고가 발생, 해당 사실을 뒤늦게 인지하고 늑장 대응에 나선 사실이 알려져 비판에 휩싸였다.

최근에는 롯데카드에서 미상의 해커가 ‘온라인 결제 서버’에 침입해 당초 신고된 1.7GB를 포함해 총 200GB의 정보를 유출한 것으로 밝혀졌다. 약 297만명의 개인신용정보가 유출됐으나, 269만명은 제한적 유출로 부정사용 가능성이 없으며 나머지 28만명도 부정 사용 가능성은 크지 않은 것으로 파악됐다.

이처럼 해킹 공격이 산업군을 가리지 않고 이뤄지는 가운데, 개인정보 유출 사고 건수도 빠르게 늘어나는 추세다.

개인정보보호위원회에서 발표한 ‘개인정보 유출 사고 현황’ 자료에 따르면 올해의 경우 1~4월까지 불과 4개월 간 총 113건이 신고됐다. 2022~2024년 유출 신고 건수는 매년 약 300건 수준을 유지해 온 것과 비교하면 급격한 증가세다.

염흥열 순천향대 정보보호학과 교수는 “우리나라는 모든 산업 부문에서 디지털 전환이 활발히 발생하고 있고, 대부분의 산업 부문의 서비스가 인터넷 기반으로 제공되고 있다”라며 “따라서 공격자 입장에서는 서비스를 운영하는 정보시스템에 대한 공격 표면이 넓어지게 됐다”라고 말했다.

이어 “특히 공격자의 공격 목적이 금전과 사회 혼란, 국가 안보의 침해 등 다양해지고 있다”라며 “이러한 상황이 속에 올해 국내에서 해킹사고가 많이 발생하고 있다”라고 덧붙였다.

정부는 해킹 정황에 대한 늑장신고에 대해 엄중 대응하겠다고 밝힌 상황이다. 기업이 침해 사실을 지연신고하거나 미신고하는 경우에 대한 과태료 등의 처분을 강화하고, 정부가 정황을 확보하는 경우 기업 신고 없이도 조사할 수 있도록 제도를 개선한다. 부처 간 합동 대응 체계도 논의 중이다.

류제명 과기정통부 제2차관은 최근 기자들과 만나 “정부는 국가안보실을 중심으로 과기정통부, 금융위 등 관계부처와 함께 범부처 합동으로 해킹 피해 최소화를 위해 노력하고 있다”며 “과기정통부는 현행 보안 체계 전반을 원점에서 재검토해 임시방편적 사고 대응이 아닌 근본적 대책을 마련할 계획”이라고 강조했다.

학계는 기업 자체적으로 정보보호 관리체계를 구축하고 운영하는 것이 중요하다고 보고 있다. 보안 사고가 기업의 커다란 경영 리스크로 이어질 수 있음이 확인된 가운데, 기업 스스로가 보안 위험 평가를 통한 상시적인 보안 대책을 강구할 수 있어야 한다는 지적이다. 제도 역시 정보보호에 대한 기업의 책임감을 강화할 수 있는 방향으로 마련돼야 할 것이라 봤다.

업계 한 전문가는 “우리나라 기업들은 지능화되고 조직화된 사이버 공격자의 능력에 대응하는 대응 능력을 확보하기 위한 보안 투자와 전문인력이 부족한 경향이 있다”라며 “현행 제도로도 부분적으로 해결은 가능하나, 자발적인 제도가 잘 작동하려면 세제 혜택 등의 인센티브를 제공하는 방향의 법제도 개선이 요구된다”라고 제언했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -