올해 4월 SK텔레콤은 네트워크 인프라센터에서 비정상 트래픽이 감지되면서 해킹 사실이 드러났다. 총 28대의 서버가 악성코드에 감염돼 전체 고객의 가입자식별번호(IMSI)를 비롯한 유심 관련 정보 25종이 유출됐으며 피해 규모는 2500만 명으로 추산된다.
약 두 달 뒤인 7월 발표된 조사 결과에서는 2022년 자체 점검 과정에서 이상 징후를 포착하고도 적절한 조치가 이뤄지지 않은 사실이 드러났다. 내부망 접근 통제가 제대로 이뤄지지 않았으며 해커가 이용한 운영체제 취약점은 이미 2016년 보안 패치가 배포된 항목으로 기본적인 보안 의무조차 미비했던 상황이었다.
SK텔레콤은 사건 직후 비상대책반과 민관합동조사단을 구성하고 유심보호서비스를 무료로 제공했다. 8월에는 통신 요금 50% 자동 할인과 위약금 전면 면제를 시행하며 보상에 나섰지만 개인정보보호위원회는 역대 최고 규모인 1347억9100만원과 과태료 960만원을 부과했다.
한국소비자원 소비자분쟁조정위원회도 유출 피해 보상 신청자에 대해 1인당 10만원을 배상하라는 결정을 내렸다고 21일 밝혔다. 모든 피해자에게 적용될 경우 보상 규모는 최대 2조3000억원에 이를 전망이다. SK텔레콤은 "결정 내용을 면밀히 검토 중이며 신중히 수용 여부를 판단하겠다"고 전했다.
KT에서도 9월 경기 광명시와 서울 금천구 등에서 소액결제 피해가 연이어 발생했다. 새벽 시간대 모바일 상품권과 교통카드 결제가 무단으로 이뤄졌으며 해커들이 불법 초소형 기지국(펨토셀)을 설치해 KT 내부망에 접속하고 인증 과정에서 이용자 정보를 가로챈 것으로 드러났다. 368명이 2억4000만원 상당의 무단 결제 피해를 입었으며 개인정보가 유출된 가입자는 2만2000명에 달한다.
경찰은 사건 초기 KT에 피해 사실을 통보하고 소액결제 분석을 요청했으나 즉각적인 대응이 이뤄지지 않아 피해가 확산됐다고 보고 있다. KT는 지난해 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않은 사실이 뒤늦게 확인돼 은폐 의혹도 제기됐다. 정부는 연내 조사 내용을 발표할 예정이며 KT는 조사 결과가 확정되는 대로 고객 보상안과 위약금 면제 여부를 결정하겠다는 입장이다.
LG유플러스의 해킹 정황은 7월 과학기술정보통신부의 제보로 알려졌다. 이후 8월 미국 보안 전문지 '프랙(The Phrax)'에서 해커가 LG유플러스 내부망에 침투해 8938대의 서버 정보와 4만2256개 계정 데이터를 탈취했다고 밝혔다. 회사 측은 "유출은 확인됐지만 침해 정황은 없다"며 신고를 미루다 10월에서야 한국인터넷진흥원(KISA)에 뒤늦게 보고했다.
민관합동조사단이 진행한 조사에서 LG유플러스가 7월 31일 계정 관리 서버 1대를 물리적으로 폐기한 사실이 확인됐다. 과기정통부 해킹 의혹을 전달받은 지 열흘가량 지난 시점이었다. 또한 8월 12일에는 침해 의혹이 제기된 계정권한관리시스템(APPM) 서버의 운영체제(OS)를 재설치한 것으로 드러났다. 정부는 이 같은 행위가 증거 훼손에 해당할 가능성이 있다고 보고 법 위반 여부를 검토 중이다.
기업의 부실 보안과 정부의 미흡한 관리 시스템이 맞물리며 국가 기간망 수준의 통신3사가 위기에 직면했다. SK텔레콤은 대규모 피해 보상으로 영업적자를 감수하면서도 신속히 수습에 나섰으며 KT·LG유플러스는 정부 조사 결과를 지켜보고 있다. 해킹 피해 축소와 은폐 의혹까지 제기되며 통신업계의 신뢰가 흔들리는 가운데 이번 대처가 기업 쇄신을 가를 분기점이 될 전망이다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>