게티이미지뱅크

SK텔레콤 해킹 사태의 근본 원인이 해커의 단독 공격이 아닌 내부 임직원의 부주의에서 비롯됐을 가능성이 제기되고 있다. 임직원이 의도적으로 해커와 공모해 정보를 유출했을 가능성은 낮지만 안일한 보안 의식으로 해커의 타깃이 된 인재(人災)였을 가능성이 있다는 뜻이다. 이대로라면 수차례 반복돼 온 통신사 해킹 사고가 재발할 수 있다는 지적이 나온다.

1일 통신 업계에 따르면 최근 국내외에서 발생한 통신사 개인정보 유출 사건은 대부분 임직원의 공모나 부주의로 인해 일어났다. 국가 기간 산업인 통신사의 보안을 내부 조력이나 실수 없이 외부에서 해커 홀로 뚫기는 매우 어렵다.


KT의 사례를 보면 2014년 1200만명분 개인정보가 해킹당한 배후에 KT 협력업체 직원의 공모가 있었다. 미국 AT&T의 2014년 28만명분 개인정보 유출 사건은 해외 협력업체 직원의 소행이었고, 버라이즌은 2017년 서버 관리 직원의 실수로 고객 1400만명의 개인정보를 털렸다.

임직원의 안일한 보안 의식이 피해를 키운 경우도 있었다. 2021년 독일 T-모바일은 외부망에 연결해놓은 테스트용 게이트웨이를 해킹당해 7600만명분의 고객 정보를 탈취당했다. 한국에서는 2023년 LG유플러스에서 고객 30만명의 개인정보가 유출되는 사고가 발생했다. 당시 LG유플러스는 고객인증시스템을 소홀히 관리해 외부에서 쉽게 접근할 수 있도록 했고, 관리자 페이지 초기 비밀번호를 변경하지 않은 채 사용하는 등 보안상 취약점을 방치한 것으로 나타났다.

전문가들은 이번 SK텔레콤 해킹 사태도 비슷한 종류의 인적 사고였을 가능성에 무게를 두고 있다. 황석진 동국대 정보보호대학원 교수는 “한국 통신 사업자의 보안 체계는 웬만한 국가기관 이상 수준”이라며 “내부에서 조력자가 의도를 갖고 협력했을 확률은 낮지만 내부자의 부주의가 큰 영향을 줬을 것”이라고 말했다.

전날 국회 과학기술정보방송통신위원회 청문회에서는 SK텔레콤의 안일한 보안 의식이 드러났다. SK텔레콤이 해커에게 탈취당한 유심 정보는 대부분 암호화되지 않고 평문으로 저장된 상태였다. 정보를 암호화된 상태로 저장하면 복호화 키가 함께 유출되지 않는 이상 해커가 원본 정보를 복원해 읽는 것이 불가능하다. 반면 SK텔레콤처럼 평문으로 정보를 저장하면 해커가 모든 정보를 고스란히 확보할 수 있다.

관건은 재발 방지 대책이다. 지금까지는 내부 관계자가 해커와 공모한 정황이 나오지 않았지만 보안 기술력과 관계없이 내부자의 보안 인식 결여나 실수가 반복된다면 비슷한 사고가 언제든지 다시 발생할 수 있기 때문이다. 황 교수는 “아무리 보안 수준이 높아도 내부 구성원이 직접 악성 코드를 실행하면 정보 유출에 취약해질 수밖에 없다”며 “금융기관처럼 아예 내·외부망을 분리하고 다른 산업계 기관들과 보안 취약점에 대해 논의하는 등 노력이 필요하다”고 말했다.

국민일보

김지훈 기자([email protected])