"사후 규제 아닌 선제적 투자 필요"
[메가경제=황성완 기자] SK텔레콤, KT, LG유플러스 등 주요 통신사들이 해커들의 주요 표적이 되면서 수천만건의 고객 정보가 외부로 유출되는 사고가 이어지고 있다. 특히 피해를 입은 KT의 경우 불법 설치된 '초소형 기지국(펨토셀)'을 통해 서버 내부의 실시간 변조나 횡적 이동 없이도 해킹이 가능했던 것으로 알려져 충격을 주고 있다.
업계 안팎에서는 KT만 유일하게 소액결제 해킹 피해가 발생한 원인으로 보안에 취약한 문자메시지(SMS) 전송 방식과 펨토셀 의존도를 지적하는 목소리가 나온다. 보안업계는 해커들의 기법이 진화하는 만큼 보안 체계 역시 한 단계 업그레이드돼야 한다고 강조한다.
 |
| ▲통신 3사 CI. |
12일 업계에 따르면 최근 KT에서 발생한 소액결제 해킹은 불법 펨토셀을 통해 통신망 자체가 위·변조된 것이 원인으로 파악됐다. 단순 스미싱이나 피싱이 아닌, 이동통신 인프라를 직접 겨냥한 공격 방식이 확인되면서 보안 업계 전반이 긴장하고 있다.
실제 피해자들은 정상적으로 통신망에 접속한 상태에서 동의 없이 상품권 결제가 진행됐다. 일부 이용자는 휴대전화에 인증 문자가 오지 않았음에도 패스(PASS) 앱 인증 내역에 결제 기록이 남는 등, 본인확인 체계 자체가 무력화된 정황이 확인됐다.
◆ 10년 넘게 반복된 통신사 해킹
이번 사건은 최근 몇 년간 이어진 통신사 해킹의 연장선에 있다. 2023년 LG유플러스 정보 유출, 지난 4월 SK텔레콤 침해 사고 등 대규모 보안 사고가 끊이지 않고 발생했다.
보안 전문가들은 이번 사태를 “국내 통신 인프라의 구조적 취약성을 여실히 보여준 사례”라고 지적한다. 특히 ‘항상 검증(Always Verify)’ 원칙을 기반으로 한 접근 통제와 실시간 무결성 검증 시스템 부재가 결정적인 허점이 됐다는 분석이다.
업계는 이번 사건을 계기로 제로 트러스트(Zero Trust) 보안 원칙 도입을 서둘러야 한다는 데 의견을 같이한다. 기존처럼 ‘한 번 인증하면 안전하다’는 방식은 이미 무력화된 만큼, 통신 트래픽 실시간 검증과 AI 기반 이상 탐지 시스템 도입이 필요하다는 것이다.
한 보안업계 관계자는 “기지국 레벨에서의 위·변조 공격은 사실상 국가 기반시설 공격과 다르지 않다”며 “단말·기지국·코어망 전 구간에 걸친 암호화·검증 체계 마련이 시급하다”고 말했다.
◆ 정부 조사 착수…"사후 규제 넘어야"
정부는 이번 사건을 계기로 민·관 합동 조사단을 구성해 불법 기지국 존재 여부와 피해 확산 경로를 조사 중이다. SK텔레콤과 LG유플러스에도 불법 기지국의 존재 여부를 파악하도록 요청했고, 두 회사는 불법 기지국이 발견되지 않았다고 과기정통부에 보고했다.
개인정보보호위원회도 통신사들의 개인정보 관리 실태 점검에 들어갔다.
다만 업계에서는 “사후 규제와 보상에 치중하는 기존 방식만으로는 근본 해결이 어렵다”며 “선제적 보안 투자와 인프라 재설계가 뒤따르지 않으면 유사한 사태는 반복될 것”이라고 우려한다.
◆ 글로벌 비해 대응 체계 한계 우려
글로벌 사례와 비교해도 한국의 대응 체계는 한계가 있다는 지적이 많다. 유럽연합(EU)은 5G·6G 시대를 대비해 제로 트러스트 기반의 보안 원칙을 통신망 전반에 권고하고 있고, 미국과 일본은 정부·통신사·보안업계가 위협 인텔리전스를 공유하는 합동 체계를 운영 중이다. 반면 한국은 여전히 사고 발생 후 과징금 부과와 보상 절차에 치중한다는 평가가 나온다.
또한 이번 사건이 단순히 금전적 이득을 노린 범죄인지, 북한 등 국가 배후 조직이 연계됐는지 여부도 주목된다. 사이버보안 전문 매체 ‘프랙’은 최근 북한 정찰총국 산하 해킹 조직 ‘김수키(Kimsuky)’ 소속 해커의 PC에서 한국 정부 기관과 통신사를 공격한 흔적이 발견됐다고 보도했다.
류제명 과학기술정보통신부 제2차관은 브리핑에서 “지난 4월 SK텔레콤 침해사고와 이번 KT 피해를 포함해 국가 배후 조직의 해킹 정황이 포착되고 있다”며 “상황을 엄중히 보고 있다”고 말했다.
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
