[사이버 보안] 국경 넘는 '사이버 위협' 해외 공장 마비까지… 정부, '국가 사이버 보안' 전면 재정비 선포

디지털 전환과 함께 사이버 보안에 대한 위기감이 증폭되고 있다. 최근 SKT, KT, LG유플러스, 롯데카드 등 국내 주요 통신사와 금융기업은 물론, 해외 주요 기업들까지 연이어 해킹 피해 소식이 전해지면서다. 디지털 시대에서 고도화된 사이버 위협에 대응하기 위한 견고한 보안 시스템 구축은 이제 생존을 위한 필수 조건이 되고 있다.

올해 국내 주요 통신 3사인 SK텔레콤(이하 SKT), KT, LG유플러스에서 해킹 정황과 피해 사례가 연이어 보고됐다. SKT에서는 유심(USIM) 정보가 유출됐고, KT에서는 소액결제 피해와 함께 서버 해킹 의혹이 제기됐다. LG유플러스도 KT와 함께 서버 해킹 정황이 포착됐다.

◆SKT

지난 4월 SKT에서 악성코드로 인한 고객 유심 정보 유출 의심 정황이 발생했다. SKT는 발 빠르게 금융당국에 신고하고 대응에 나섰지만, 민감한 개인 정보 유출로 2차 피해에 대한 우려가 확산됐다.

SKT는 4월 22일 보도자료를 내고 "19일 오후 11시경, 악성코드로 인해 SKT 고객의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다"라며 "SKT는 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하였으며, 해킹 의심 장비도 격리 조치했다"라고 밝혔다.

보안 업계에 따르면 해당 사건은 SKT의 홈 가입자 서버(HSS)에 침입한 해커가 악성코드를 설치해 벌어진 것으로 추정됐다. 유출된 데이터는 유심 복제에 악용될 수 있는 핵심 정보인 가입자식별키(IMSI), 유심 칩 고유번호(ICCID), 유심 인증키와 유심 정보 처리 및 인증에 활용되는 SKT 내부 관리용 정보 21종에 이르는 것으로 알려졌다.

◆KT

KT는 연초부터 다양한 해킹 및 보안 문제로 몸살을 앓고 있다. 고객 무단 소액결제 사고부터 북한 해킹 그룹 연루 의혹까지 제기돼 왔다. 

KT의 해킹 의혹은 KT 고객들을 표적으로 한 무단 소액결제 피해 사례가 속출하면서 수면 위로 떠올랐다. 경기 광명과 부천, 서울 금천구 등 수도권을 중심으로 KT 고객들의 소액결제 피해가 집중적으로 접수됐다. 전수 조사 결과, KT의 소액결제 피해는 '펨토셀'을 이용한 해킹으로 비롯된 것으로 확인됐다. 공격자들은 펨토셀에 접속한 이용자의 휴대전화를 해킹해 모바일 상품권을 구매하거나 교통카드를 충전하는 방식으로 결제를 시도했다. '펨토셀'은 주로 실내에서 이동통신 신호를 강화하기 위해 사용되는 초소형 기지국으로, KT는 전국에 총 15만 7,000여 대를 운영하고 있다.

KT는 "펨토셀과 신호를 주고받은 고객 2만여 명에 대해 조사를 마쳤다"라며 "피해는 ARS 인증을 통해서만 이뤄진 것으로 파악됐다"고 밝혔다.

이 과정에서 KT는 허위 사실을 보고하며 초기 조사에 혼선을 초래했다는 지적도 받았다. 지난 7월 한국인터넷진흥원(KISA)은 KT에 대한 해킹 정황이 나왔다는 제보를 받은 데 이어 미국 보안 매체 '프랙'(Phrack)이 KT에 대해 서버 해킹 의혹을 제기하자, KT에 서버 관련 자료 제출을 공식적으로 요청했다.

이에 KT는 당시 KISA에 "8월 1일 관련 서버를 이미 폐기했다"고 보고하며 자료 제출을 거부했다. 그러나 이후 KT의 서버 폐기는 사실이 아닌 것으로 드러났다. KT가 국회에 제출한 자료를 보면 8월 1일에 2대, 6일 4대, 13일 2대를 폐기한 것으로 확인됐기 때문이다. 당초 KISA가 서버 자료 제출을 요구했던 12일에 KT는 2대를 보관하고 있었던 것이다.

국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원은 "뒤늦게 해킹 의심 서버를 폐기한 건 사건을 은폐하려는 의도로 볼 수밖에 없다"라며 "지금이라도 별도의 조사를 통해 KT의 해킹 의혹과 허위 보고 경위를 철저히 밝혀야 한다"라고 지적했다.

한편, 국무조정실과 국민의힘 김장겸 의원실에 따르면 KT 무단 소액결제 사건으로 현재까지 362명의 이용자가 약 2억 4,000만 원의 피해를 입었고, KT 서버도 해킹된 것으로 밝혀졌다. 소액결제 피해자 중에는 20년 이상 장기 가입자 10명도 포함된 것으로 집계됐다.

◆LG유플러스

이달 1일 KT와 LG유플러스의 서버 해킹 의혹이 제기됐다. 북한 국영 해킹조직 김수키(Kimsuky)가 KT와 LG유플러스의 정보를 가지고 있었다는 주장이 나오면서다.

미국 해커인 세이버(Saber)는 미국 보안 전문지 프랙에 북한 정찰총국의 김수키를 해킹했는데, 이때 김수키가 KT 웹서버의 보안 인증서와 개인 키, 유플러스 내부 서버 8,938대와 계정 42,526개의 정보, 직원 167명의 실명과 계정 정보를 보유하고 있었다고 밝혔다.

이에 과학기술정보통신부(과기정통부)와 KISA는 양 통신사의 침해사고여부 확인을 위해 현장점검 및 관련 자료를 제출받아 정밀 포렌식 분석에 들어갔으며, 개인정보보호위원회(개인정보위)도 10일 조사에 착수했다. 개인정보위는 "그간 개인정보위는 해당 사실을 언론보도 등을 통해 인지하고, 해당 기업 대상 자료요구 및 면담, 유관기관 등과 정보공유 등 사실관계를 확인해 왔다"라며 "해당 기업으로부터 별도의 개인정보 유출신고는 접수되지 않았으나, 시민단체의 조사요청 민원과 소액결제 피해자의 침해신고 등이 접수됨에 따라 조사에 착수해 구체적인 사건 경위 및 개인정보 유출 여부 등을 집중적으로 확인할 예정이다"라고 전했다.

서버 해킹 의혹과 관련해 KT 측은 KT망에서 유출된 게 아니라는 입장이며, LG유플러스 측은 침해 정황은 발견되지 않았으나 정부 조사에 적극 협조하고 있다고 밝혔다.

롯데카드는 지난 8월 26일, 자체적인 내부 시스템 점검 중 일부 서버에서 악성코드 감염 징후를 최초로 발견했다. 이에 즉시 전사적 전수 점검에 돌입했으며, 총 3대의 서버에서 2종의 악성코드와 5종의 웹셸(Webshell)을 제거했다.

이어 같은 달 31일에는 온라인 결제 서버에서 외부 공격자의 자료 유출 시도를 추가로 확인하고, 약 1.7GB 규모의 파일이 반출됐을 가능성을 금융당국에 신고했다.

이에 금융감독원(금감원)은 즉시 현장검사에 착수했으며, 금융보안원과 고객정보 유출 여부 등 사실관계 확인에 나섰다. 그 결과, 해킹 공격은 '오라클 웹로직(Oracle WebLogic) 서버'의 특정 취약점(CVE-2017-10271)을 악용한 것으로 분석됐다. 이 취약점은 공격자가 인증 절차 없이도 원격으로 서버에 임의 명령을 실행하고 장악할 수 있는 '원격 코드 실행'이 가능한 심각한 보안 결함이다. 

더 큰 문제는 해당 취약점에 대한 보안 패치가 이미 2017년에 배포됐음에도 불구하고, 장기간 사이버 공격에 노출됐다는 점이다. 국내 보안기업에 따르면 동일한 취약점에 노출된 국내 서버는 현재 6,802대에 달하는 것으로 알려졌다. 금융기관과 공공기관, 민간 기업 상당수가 여전히 패치되지 않은 상태인 것으로 나타났으며, 관리 부실이 해킹의 주요 원인으로 지목되고 있다.

한편, 이번 해킹으로 롯데카드 회원 300여만 명의 개인정보가 유출된 것으로 파악됐다. 이 중 28만 명은 결제에 필요한 핵심정보인 카드번호, 비밀번호, CVC 등이 모두 유출됐다.

사이버 공격이 전 세계 기업들을 강타하고 있다. 최근 브라질 핀테크 기업, 글로벌 클라우드 서비스 제공업체, 세계적인 타이어 제조사에 이르기까지 업종을 불문하고 대규모 해킹 피해가 속출하고 있다. 이에 사이버 보안이 단순한 방어벽이 아닌, 기업의 생존과 국가 경쟁력을 좌우하는 핵심 요소로 부각되고 있다.

한국인터넷진흥원에 따르면 지난 8월 브라질 핀테크 기업인 신키아(Cynkia)가 치명적인 해킹 공격에 노출됐다. 해커들은 신키아의 핵심 결제 시스템을 노려 약 1억 3천만 달러(한화 약 1,750억 원)에 달하는 막대한 자금을 탈취하려는 시도를 감행했다.

미국 클라우드 플랫폼 기업 클라우드플레어(Cloudflare)는 고객 관리 소프트웨어 플랫폼 '세일즈포스' 환경에서 발생한 고도화된 공급망 공격을 확인했다고 밝혔다. 해커들은 주요 통합 솔루션인 세일즈로프트와 드리프트에서 탈취한 OAuth 토큰을 악용해 8월 12일부터 17일까지 클라우드플레어 고객 데이터를 유출시킨 것으로 알려졌다. 이번 공격으로 고객의 연락처, 지원 티켓 내역, 일부 환경 설정값, 액세스 토큰 등 민감한 정보를 포함해 무려 700개 이상의 기업이 연쇄적인 피해를 입은 것으로 조사됐다.

세계 최대 타이어 제조사 브리지스톤(Bridgestone)은 9월 1일 사이버 공격으로 운영 중단 사태까지 벌어졌다. 피해 공장은 미국 사우스캐롤라이나주 에이컨카운티 공장 두 곳과 캐나다 퀘벡주 졸리에트 공장으로, 약 1,400명의 직원이 일시적으로 업무를 중단했다. 브리지스톤 측은 공격 직후 네트워크를 즉시 격리하고 비상 대응팀을 가동하는 한편, 현재 포렌식 조사를 통해 정확한 피해 원인과 규모를 파악하고 있다고 발표했다.

최근 통신사와 금융사를 중심으로 잇따라 발생하는 대규모 사이버 해킹 사고에 대해 정부가 '보안 태세 전면 재정비'를 선포하며 강력한 대응에 나섰다. 김민석 국무총리는 정보보호의 중요성을 강조하며 관련 기업에 책임 있는 자세를 주문했고, 과기정통부는 즉각적인 후속 조치로 주요 기업 정보보호최고책임자(CISO)들을 소집해 비상 점검 체제에 돌입했다.

김민석 국무총리는 22일 통신사 및 금융사 해킹사고 관련 긴급 현안점검회의를 주재하며, 국내 정보보호 역량 강화를 촉구했다. 김 총리는 "보안 없이는 디지털 전환도 AI 강국도 사상누각이다"라며 "당장은 가시적인 이익이나 성과로 나타나지 않을 수도 있지만, 통신·금융보안은 통신사와 금융회사의 가장 기본적인 사명이자 소비자 신뢰의 첫걸음이다"라고 단언했다.

그는 이어 정부 차원의 대책 마련도 약속했다. 김 총리는 "유사한 해킹 사고 재발 방지를 위해 통신·금융권의 정보보호 체계를 전면적으로 재정비할 것"이라며 "기업의 신고에만 의존하던 기존 방식을 넘어 정부가 직권으로 조사를 개시할 수 있도록 권한을 강화하고, 보안 의무 위반에 대한 제재 수위 또한 높여 기업의 책임성을 확보하겠다"라고 전했다.

23일 과기정통부는 류제명 제2차관 주재로 국내 주요 기업 정보보호최고책임자(CISO)들과 긴급 보안점검회의를 개최했다.

이번 회의는 전일 국무총리가 "국가 전체적인 보안 취약점 점검과 피해 확산 차단이 시급하다
"라고 강조한 데 따른 후속조치로, 최근 잇단 통신·금융 분야 해킹 사고로 고조된 국민적 불안을 해소하고, 정보보호 역량 강화를 위한 방안을 논의하기 위해 마련됐다.

류 차관은 회의에서 "최근 발생하고 있는 사이버 위기는 매우 엄중한 상황"임을 강조하며, 각 기업에 자사의 주요 정보 자산을 명확히 식별하고, 이에 대한 취약점 분석을 포함한 자체 보안 점검을 신속·정확하게 수행한 후 그 결과를 과기정통부에 회신할 것을 강력히 요구했다. 또 그는 "국민이 안심하고 디지털 환경을 활용할 수 있도록 기업 일선에서 활동하는 3만여 명의 CISO들이 막중한 책임감을 가지고 기업의 정보보호 강화에 매진해 줄 것"을 당부했다.