한겨레21

2025년 4월19일, 국내 1위 이동통신사업자인 에스케이텔레콤(SKT)이 데이터 유출 사실을 알아차렸다. 이미 해커가 침투한 지 3년 반이 지난 시점이었다. ‘유출 가능성’이 있으나 ‘현재까지 해당 정보 악용 사례는 없다’고 알림을 내놓은 것이 4월22일이다. 그 후 134일. 인구 절반에 육박하는 2324만4649명의 개인정보가 유출된 최악의 사태에 대한민국은 혼란에 빠졌다.

국내 최고 이통사의 허술한 보안 실태에 국민이 경악하는 사이, 기업들은 줄어드는 SKT 가입자 수와 이미지 실추를 보며 ‘다른 교훈’을 얻은 것일까? 2025년 9월, 이번에는 케이티(KT)와 엘지유플러스(LGU+)도 해킹당했다는 의혹이 일었고, 정부가 조사에 나섰다. SKT 사태 초기부터 ‘다른 통신사도 해킹됐다’는 보고가 있었음에도 ‘기업 자체 조사’에 맡겨온 정부가 실제 유출 정보를 토대로 한 외신 보도가 나오자 그제야 부랴부랴 나서는 모습이다. ‘안 들키면 장땡’이라는 식의 대응 앞에 전 국민의 정보가 속수무책인 상태다.

“과기부 장관님, 지금 KT와 LG유플러스 관련하여 해킹 사태가 터졌는데 저로서는 정말 이해할 수 없는 상황이 벌어진 것 같습니다. 지금 두 회사가 정부 조사에 제대로 응하고 있습니까?”(최민희 국회 과학기술정보방송통신위원장)

“KT에 관련 자료 제출을 요구해 8월13일에 받았습니다. 추가 대응 준비하고 있습니다.”(배경훈 과학기술정보통신부 장관)

“지금 민관 합동조사단을 못 만든 이유가 뭐예요?”(최 위원장)

“(현행법상 기업이 자진해서) 신고를 해야 저희가 조사를 할 수가 있습니다.”(배 장관)

“자진 신고하지 않는 이유는요?”(최 위원장)

“과기부가 사실 초기부터 공식적인 조사를 위해 신고를 권유했습니다. 그런데 사업자들은 자체 조사 결과 침해 정황을 발견할 수 없는 상황이라며 동의를 하지 않았습니다.”(류제명 과기정통부 2차관)

“(다크웹에) 유출된 자료가 KT, LG유플러스 정보와 일치하는데 지금 버팅기고 있거든요. KT의 경우는 서버가 파기됐다면서요? 하필 이 시점에 좀 이상한 일이잖아요. 혹시 해킹 흔적을 없애기 위해 그런 거 아니야, 이런 의혹이 생길 수도 있습니다. 이거 그냥 넘어가지 않겠습니다. 사업자가 정부 부처를 함부로 대하는 것은 국회로서 용납할 수 없습니다.”(최 위원장)

2025년 9월2일 열린 국회 과학기술정보방송통신위원회 전체회의에서 최민희 위원장이 목소리를 높였다. 8월28일 개인정보보호위원회가 SKT의 과징금을 발표하며 ‘해킹 사태’가 일단락되는 듯했지만 곧바로 외신 보도 등을 통해 다른 이통사에 대한 해킹 의혹이 강하게 제기됐기 때문이다. 국회는 즉각 기업의 자진 신고가 있어야만 정부가 민관 합동조사단을 꾸릴 수 있도록 한 정보통신망법 개정 작업에 착수했다.

지금의 소란은 어딘가 어색하다. 이통사 전부가 해킹당했을 가능성이 일찌감치 제기됐기 때문이다. 글로벌 보안업체 트렌드마이크로는 2025년 4월 위협 보고서에서 중국계로 의심되는 해커 조직이 2024년 7월과 12월 두 차례에 걸쳐 한국의 통신사를 침투했다고 밝혔다. 비피에프도어(BPFDoor, 원격으로 시스템을 제어하는 악성코드)를 활용하는 공격 방식도 SKT 사례와 같아 “이통사 세 곳이 모두 털렸다”는 이야기가 보안업계에서 기정사실화됐다.

하지만 그간 정부는 이통사들의 말을 인용해 ‘문제없음’을 거듭 밝혀왔다. 과기정통부는 장관이 교체되기 전인 2025년 5월, 두 통신사를 포함한 주요 정보통신기술(ICT) 기업을 조사한 결과 “현재까지 해킹 의심점 등 특이점이 없었다”고 발표했다. 7월4일에는 ‘SKT 침해사고 관련 민관 합동조사단 최종 조사 결과'를 발표하면서 “KT와 LG유플러스는 SKT에 준하는 수준으로 점검한 결과 지금까지 문제가 없다”고 했다. 장관이 바뀐 뒤인 8월20일에는 국회 과방위 회의에 출석한 류제명 2차관이 “해당 기업으로부터 침해 사실이 없다는 확인을 받았다”고 말했다. “KT와 LG유플러스 보고 내용을 신뢰할 수 있느냐”는 최민희 과방위원장의 질문에 류 차관은 “꼼꼼하게 점검하겠다”고 밝힌 바 있다.

앞서 8월 초 미국 해킹 전문지 프랙(Phrack)은 중국·북한계로 추정되는 해커 조직이 KT·LG유플러스를 상대로 해킹을 이어온 정황이 포착됐다고 보도했다. KT의 경우 인증서(SSL 키), LG유플러스는 내부 서버 관리용 계정 권한 관리 시스템 소스코드, 8938대 서버 정보, 4만2526개 계정 등이 유출됐다는 것이다. 현재 두 회사는 “내부 조사 결과 해킹 흔적이 발견되지 않았다”며 “정부 조사에 적극 협조 중”이라는 입장이다.

이런 상황인데도 전 국민 절반을 정보 유출·도청 위험 속에 몰아넣은 SKT에 대한 처벌은 ‘솜방망이’ 수준으로 마무리됐다. 매출이 17조9406억원(2024년 연결 기준)에 달하는 SKT에 8월28일 개인정보위가 내린 과징금은 1347억9100만원, 과태료는 960만원이다. 개인정보위 차원에서는 역대 최고 수준이지만, 관련 매출액의 3%까지 과징금을 물릴 수 있는 개인정보보호법의 취지를 살리지는 못한 모양새다. 2023년 대규모 개인정보 유출 사고를 낸 LG유플러스에 개인정보위가 과징금 68억원, 과태료 2700만원을 부과했을 때도 ‘LG유플러스의 승리’라는 말이 나왔다.

개인정보위 조사 결과 SKT는 4년에 걸쳐 가입자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종에 달하는 정보를 빼앗겼다. 해커는 2021년 8월 SKT 내부망에 최초로 침투해 서버를 장악한 뒤 2022년 6월 통합고객인증시스템에 추가 거점을 확보했다. 2025년 4월18일에는 홈가입자서버 데이터베이스에 저장된 이용자 개인정보를 빼갔다.

이 과정에서 SKT는 믿을 수 없이 허술한 조치를 취해왔다. 인터넷·관리·코어·사내망의 네트워크가 동일해 해커 침입에 매우 취약했다. 2022년 2월에는 해커가 홈가입자서버에 접속한 사실을 알고도 추가 대응을 하지 않은 부도덕도 드러났다. 2300여 개 서버의 계정정보도 암호 설정 없이 관리망 서버에 저장돼 해커는 비밀번호 인증 절차도 거칠 필요가 없었다. 2016년 11월 설치한 운영체제의 보안 업데이트를 2025년 4월까지 한 번도 하지 않아 이 구멍을 해커가 이용했다. 한마디로 ‘열린 문’이었던 셈이다.

민관 합동조사 과정을 잘 아는 한 보안전문가는 “SKT 사태를 겪으며 해킹 문제가 대대적으로 알려질 경우 기업들이 너무 타격을 받으니 좀 조용히 넘어가자, 이런 분위기도 있는 듯하다”며 “이 정도 심각한 보안 사고를 일으키면 이동통신 서비스를 그만둬야 한다는 정도의 경각심을 불러일으킬 필요가 있다”고 말했다.

김휘강 고려대 교수(정보보호대학원)는 “기업들이 보안에 투자를 강화해야 하는 것은 물론, 제도 개선 역시 본격적으로 논의해야 할 시점”이라며 “피해기업이 위협정보를 서로 공유해야 추가적인 피해자들을 예방할 수 있는데, 신고를 꺼리는 분위기로 변하고 있어 이에 대한 유인책이 필요하다”고 강조했다.

임지선 기자 sun21@hani.co.kr