KT사태로 본 ‘스미싱 전쟁’…‘해외 사례’ 반면교사 ㊦

[중소기업투데이 이상영 기자] SK텔레콤에 이은 KT의 보안사고는 일회성 ‘사고’가 아니라, 국가 통신 보안에 결정적 결함이 있는게 아니냐는 국민적 불안을 안기고 있다. ‘통신사 보안게이트’로 번질 가능성도 커졌다. 차제에 미국과 영국 등 주요국에서도 끊임없이 일어나는 통신 보안 사고나, 국가적 인프라에 대한 사이버침해 사례가 새삼 ‘반면교사’로 눈길을 끌고 있다.

KT는 그 동안 고객 정보유출은 없었다고 잡아떼었다. 그러나 11일 대통령의 질책 후 ‘이실직고’하며 고개를 숙였다. 이재명 대통령은 취임 100일 기자회견에서 각종 사이버침해에 대해 ‘철저한 배상과 처벌’을 주문했다. 이에 김영섭 KT 대표 등은 대국민 사과 기자회견에서 “유심정보 유출 가능성이 있는 고객은 5561명”이라고 털어놓았다.

KT는 “불법 초소형 기지국을 통한 일부 고객의 IMSI(국제이동가입자식별정보)값의 유출 정황을 확인하고, 개인정보보호위원회에 신고했다”고 뒤늦게 실토했다. 공격자가 불법 (가상)기지국을 설치, IMSI 값이 유출되었을 가능성이 있다는 얘기다. 그러나 KT의 은폐 시도 의혹과 함께 과기정통부도 사태를 뒤늦게 파악한 것으로 드러나 사태는 더욱 심각해질 전망이다.

미국의 대표적 통신사인 AT&T와 T모바일 사례

이런 사고는 미국 등 해외에선 더욱 극성을 부린다. 비단 통신사 뿐 아니라, 의료· 복지 등 사회적 인프라에 대한 사이버공격이 이어지면서, 국가 기능 자체가 마비되기도 한다. 더욱이 그때마다 해커와의 뒷거래, 사고 은폐, 면피 시도 등으로 국민적 공분을 사곤했다.

미국 최대 통신사인 AT&T와 T모바일 등도 그런 사례다. AT&T는 “잊을만 하면” 사이버 침해를 당하며 국가적 피해를 안기는 통신사로 낙인찍혀있다. 지난해 역시 AT&T는 통화·문자기록을 대량으로 해킹당해 고객 1억여 명의 정보가 유출된 사실이 뒤늦게 밝혀져 큰 파장을 일으켰다. 이는 국가안보 문제로 번졌다. AT&T는 그러나 해킹 초기엔 이를 ‘쉬쉬’하며 해커에 5억여원을 주고 사태를 해결하려했다. 뒤늦게 이런 사실이 알려지면서 국민적 공분을 사기도 했다.

AT&T는 앞서도 이미 여러 차례 고객 정보 유출 사건에 휘말렸다. 2023년 외주 마케팅업체 클라우드 저장소에서 고객 890만 명의 개인정보가 유출된 사건으로 인해 미국 연방통신위원회(FCC)에 170억 원 규모의 과징금을 지불해야 했다. 또 지난해 3월에도 약 760만개의 현재 계정 사용자와 약 6540만 명의 과거 고객 개인 데이터가 다크웹으로 유출됐다고 밝힌 바 있다. AT&T는 이러한 사건들로 인해 지금도 FCC 조사를 받고 있으며, 미국 내 각 주에서 20여 건의 개별 및 집단 소송에 시달리고 있다.

그럼에도 아직도 AT&T가 평소 어떤 보안시스템을 운영하는지, 어떻게 대량으로 데이터가 유출되었는지는 알려지지 않고 있다. 우리 이동통신 3사를 비롯한 기업들도 절대 있어서는 안 될 ‘반면교사’로 삼아야 한다는 지적이다. 특히 이번 KT는 물론, 앞서 사이버침해를 당한 SK텔레콤 등에 대해서도 가입자들 개인이 손해배상이나 보상을 청구할 수도 있다. 또는 법원에 소송을 제기할 수 있다는 목소리도 나온다.

T모바일 역시 AT&T 못지않은 사이버공격의 단골 표적이다. 이미 2021년에도 전·현 고객 및 잠재적 고객 7660만 명 이상의 개인정보가 유출된 사건으로 인해 소비자들에게 4590억 원의 배상을 합의했다. 당시 고객들의 이름, 생년월일, 사회보장번호, 운전면허증 번호 등 민감한 정보가 대거 유출된 것으로 알려졌다.

실제로 T모바일의 경우 공격 사실을 알림과 동시에 모든 고객에게 이메일과 문자 알림을 발송하고, 피해 여부와 관계없이 2년간 맥아피의 보안 서비스를 무료로 제공하기로 했다. 소비자들은 이에 대해 법원에 소송을 제기했으며, T모바일은 1인당 최대 3200만 원의 보상을 물게 되었다. 또한, T모바일은 2023년까지 자사 사이버 보안 분야에 약 2000억 원을 투입하기로 결정했다.

대형 헬스케어 기업 해킹으로 ‘국가적 재난’도

통신사 뿐 아니다. 미국 최대의 헬스케어 기업인 체인지 헬스케어(Change Healthcare) 해킹은 그야말로 ‘국가적 재난’이었다. 사실상 미국 성인 인구 대부분의 의료 데이터가 유출되었다고 해도 과언이 아닌 사건이다.

이보다 앞서 미국 최대의 건강보험 회사인 유나이티드헬스 그룹(UnitedHealth Group)은 지난 2022년부터 ‘체인지 헬스케어’ 인수작업을 진행해왔다. 인수과정에서 허술한 보안대책이 대형 사고를 부른 셈이다. 미국 법무부도 진작에 경고를 발하며, 보안 의무 소홀을 이유로 소송까지 벌였으나 사태를 막지 못했다. 결국 2년 후 ‘체인지 헬스케어’사가 랜섬웨어 집단에 의해 해킹당함으로써 최악의 사태가 벌어지고 만 것이다. 이 회사의 중요 시스템은 애초부터 ‘다중 요소 인증’조차 적용되지 않았다. 그 때문에 민감한 건강 데이터가 무더기로 도난당한 것이다.

그로 인해 몇 주 동안 미국 전역의 병원, 약국 및 의료 서비스가 중단되었다. 아직도 미국에서 그 사건의 여파가 완전히 가시지 않고 있다. 유나이티드헬스 사는 “도난 당한 데이터에는 미국에 거주하는 ‘상당한 비율’의 개인 의료 및 청구 정보가 포함돼 있다”면서 몸값을 줄 수 밖에 없었던 이유를 밝히기도 했다. 여기서 ‘상당 비율’은 전 인구의 절반에 가깝거나, 최소한 몇 억명에 달할 것이란 해석도 나오고 있다.

영국, 사이버공격에 병원, 약국 철시, 수 천 건 수술 연기

영국도 유사한 사고가 잇따르고 있다. 지난해는 악명높은 랜섬웨어 ‘시노비스’(Synnovis)의 공격으로 모든 병원이 문을 닫다시피한 사건이 발생했다. 수도권 전역의 병원과, 의료 서비스를 위한 혈액 및 조직 검사 연구소인 ‘영국 병리학 연구소’에 대한 랜섬웨어 공격으로 인해 몇 주 동안 진료와 치료가 모조리 중단되었다. 그 때문에 수천 건의 수술이 연기되었고, 국가 보건․의료 ‘비상사태’가 선포되었다. 영국 병리학 연구소는 지난 수 년 동안 영국 보건 서비스가 요구하는 데이터 보안 표준을 소홀히 하다가 변을 당한 것으로 알려졌다.

이는 러시아에 근거지를 둔 랜섬웨어 조직의 소행으로 밝혀졌다. 이 공격으로 인해 지난 수 년 동안 축적된 약 3억 건의 환자 관련 의료 데이터가 도난당했다. 사실상 전 국민의 의료데이터가 러시아로 넘어간 셈이다. 앞서 미국의 ‘체인지 헬스케어’의 경우처럼 데이터를 도난 당한 사람들은 평생을 두고 피해를 입을 수도 있다는 우려다.

이때 훔친 데이터는 몸값을 강요하는 과정에서 일부가 온라인에 공개되기도 했다. 그러나 영국 보건당국은 ‘시노비스’ 랜섬웨어 일당이 요구한 5000만 달러의 몸값 지불을 거부했다. 이로 인해 사이버 갱단이 해킹으로 이익을 얻을 수 있다는 인식을 차단할 수는 있었지만, 해커들이 언제든 수백만 건의 영국민의 건강 기록을 온라인에 게시할 수도 있다는 우려가 크다. 요즘도 영국 정부는 그 가능성에 대비, 대응책에 부심하고 있다.

글로벌 예약시스템 ‘티켓마스터’, 5억6천만명 데이터 유출

각종 사회·문화적 플랫폼도 해커들이 주요 먹잇감이 되고 있다. 국내에서도 각종 공연이나 행사 티켓 예매에 많이 쓰이는 ‘티켓마스터’는 사실상 전세계를 커버하는 네트워크다. 그러나 티켓마스터와 예약 시스템이 연계된 클라우드 데이터 기업인 ‘스노우플레이크(Snowflake)’가 지난해 랜섬웨어 공격을 당했다. 그로 인해 무려 전 세계 5억 6000만 개의 고객 기록을 도난당하는 재앙이 일어났다. 그 동안 단 한 번이라도 각종 예약을 위해 티켓마스터에 접속했던 모든 사람들의 데이터가 털린 것이다.

티켓마스터의 경우 5억 6000만 개 기록은 물론, 자사 시스템과 연관된 165개 글로벌 기업들의 고객 정보 1억 1000만개를 훔친 것으로 전문가들은 추산한다. 그럼에도 ‘스노우플레이크’는 부실한 사후 대응을 고수해 비난을 사고 있다. 도난당했거나 재사용된 암호를 사용하는 사이버공격에 대응한 보안 기능을 고객들에게 의무화하지 않고 있다는 지적이다.이 사용하도록 요구(또는 강제)하지 않고 있어 문제다.

보안업체인 맨디안트는 “티켓마스터를 ‘허브’삼아 훔쳐낸 약 165곳의 ‘스노우플레이크’ 고객사들 중엔 자사가 간접적인 사이버공격을 받은 사실조차 모르는 경우도 있다”고 지적했다. 그로 인해 앞으로도 그로 인한 피해가 일파만파로 지속될 것이란 우려다.

이처럼 국내외의 사이버공격 내지 해킹에 의한 피해는 날로 기록을 갱신하고 있다. SK텔레콤에 이은 KT 보안사고, 일부 인터넷서점 등 국내에서도 무차별적으로 사이버공격이 자행되고 있다. 글로벌 사이버보안업체 맨디안트와 테크타깃 등은 “세계적으로 사상 최악의 사이버범죄 피해의 한 해가 될 것”이라고 우려했다. 지난 2024년의 경우 이같은 데이터 침해 사고들로 인해 이미 도난 기록이 최소 10억 건을 넘어섰으며 지금도 그 숫자는 계속해서 증가하고 있다는 분석이다.