"저희는 안전하다"더니…다 뚫린 이동통신 3사

(서울=뉴스1) 이기범 기자 = 유심 해킹부터 무단 소액결제, 서버 정보 탈취까지. 이동통신 3사가 모두 해킹 이슈에 휘말렸다. "저희는 안전하다"던 문구가 무색했다. LG유플러스(032640)까지 해킹 정황을 당국에 신고하면서 이통 3사 모두 정부 조사를 받게 됐다.

LG유플러스는 23일 오전 한국인터넷진흥원(KISA)에 해킹 의심 정황을 신고했다고 밝혔다.

LG유플러스는 "이번 신고는 현재까지 조사에서는 침해 사실이 발견되지 않았지만, 국민적 염려와 오해를 해소하는 차원에서 국회의 의견에 따라 적극적으로 대응하기 위함이며, 진행되는 조사에도 적극 협조하겠다"고 설명했다.

지난 21일 홍범식 LG유플러스 대표는 국회 과학기술정보방송통신위원회 국정감사에서 해킹 정황이 발생했고, 서버 삭제 의혹도 나오고 있다는 지적이 나오자 KISA 신고 의향을 밝혔다.

앞서 지난 8월 글로벌 해킹 권위지 '프랙 매거진'은 LG유플러스의 8938대의 서버 정보와 4만 2526개의 계정 및 167명의 직원 정보가 유출됐다고 발표한 바 있다. 이와 관련해 KISA는 지난 7월 해킹 정황을 확인하고 LG유플러스에 침해 사고 신고를 권유했지만 회사 측은 "침해 정황이 없다"며 이를 받아들이지 않았다. 다만 과학기술정보통신부의 권유에 따라 현장 조사를 진행 중이다.

아울러 LG유플러스는 보고 하루 전인 8월 12일 해킹 의혹이 제기된 '계정 권한 관리 시스템'(APPM) 서버의 운영체계를 재설치한 것으로 확인돼 서버 폐기 논란이 일었다. 또한, 지난 7월 31일에는 계정 관리 서버 1대를 물리적으로 폐기한 사실이 뒤늦게 알려져 논란이 증폭됐다. LG유플러스는 1년 전부터 계획된 폐기였으며, 문제가 된 APPM 서버와 관련 없는 서버였다고 해명했다.

통신사들의 연이은 해킹 사태는 지난 4월 SK텔레콤(017670)의 유심 정보 유출 사고로 시작됐다. 이로 인한 직접적인 피해는 신고되지 않았지만 2696만 건에 달하는 고객 개인정보가 유출됐으며, 정부 민관합동조사단 조사 결과 계정정보 관리 부실, 주요 정보 암호화 조치 미흡 등이 지적됐다. 개인정보보호위원회는 SK텔레콤에 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억 9100만 원, 과태료 960만 원을 부과했다.

SK텔레콤은 정부 최종 조사 결과가 나오자 전 고객 대상 8월 통신 요금 50% 감면 등 5000억 원대 고객 보상안과 7000억 원 규모의 정보보호 혁신안을 발표했다. 위약금을 면제하라는 정부의 판단도 수용했다.

KT(030200)에서는 무단 소액결제 사건이 발생했다. 지난 9월부터 알려진 소액결제 사태로 현재까지 총 368명이 피해를 입은 것으로 집계됐다. 총 피해금액은 약 2억 4000만 원으로, 무단 결제 건수는 총 777건으로 파악됐다. 불법 초소형 기지국(펨토셀)이 주요 범행 도구로 지목된 가운데, 불법 펨토셀 ID는 총 20개가 확인됐다. 해당 펨토셀 ID 접속돼 개인정보 유출 정황이 있는 고객은 총 2만 2227명으로 집계됐다.

무단 소액결제 과정에 필요한 이름, 생년월일 등 개인정보 유출 경위가 아직 밝혀 지지 않았고, 서버 침해 정황까지 있어 피해 규모가 확대될 가능성도 있다. 아직 사건 전모가 드러나지 않았지만 KT의 펨토셀 관리 부실 문제가 주요 원인으로 꼽히고 있다.

이처럼 해킹 문제가 갈수록 커지자 정부는 칼을 빼 들었다. 정부는 지난 22일 '범부처 정보보호 종합 대책'을 발표했다. 공공·금융·통신 등 국민 대다수가 이용하는 1600여 개 정보기술(IT) 시스템을 대상으로 보안 취약점 점검을 추진하고, 이동통신 3사 대상으론 실제 해킹에 준하는 강도 높은 불시 점검을 하겠다는 게 골자다.

기업의 침해 정황만 확인되면 정부가 먼저 현장 조사를 할 수 있도록 권한도 확대한다. 기존에는 정보통신망법상 기업의 자발적 신고가 있어야 조사가 가능했다. 아울러 해킹 지연 신고, 재발 방지책 미이행, 개인·신용 정보 반복 유출 등을 저지른 기업에는 제재 수위를 높인다. 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등이 예정됐다.

Ktiger@news1.kr