2025.10.05 일요일
검색
'공급망 공격' 검색결과
기간검색
-
~
검색영역
검색어
-
SKT 유심 유출 · KT 결제 해킹 · LGU+ 해킹 의혹...통신 인프라 신뢰, 근간부터 흔들린다 [이코노믹데일리] 국가 기간 통신망이 뿌리부터 흔들리고 있다. KT 고객들의 주머니를 턴 ‘유령 소액결제’ 사태와 LG유플러스의 핵심 통신 장비 공급망에서 터진 해킹 의혹은 대한민국 통신 인프라의 총체적 부실을 드러낸 결정적 사건이다. ‘세계 최고’를 자부하던 K-통신의 민낯이 드러나면서 속도와 혁신이란 구호 아래 감춰왔던 보안 불감증의 대가가 사회 전체를 위협하고 있다. 이는 단순한 해프닝이 아니라 우리 사회의 디지털 기반이 얼마나 취약한지를 보여주는 상징적인 경고등이다. ◆ 드러난 균열, 무엇이 어떻게 뚫렸나 사건의 시작은 악몽 같았다. 지난 8월 말부터 KT 고객들의 온라인 커뮤니티에는 자신도 모르는 소액결제가 이뤄졌다는 피해 보고가 빗발쳤다. 정부 합동 조사단이 잠정 지목한 원인은 ‘IMSI 캐처’를 탑재한 불법 초소형 기지국(펨토셀)이다. 해커 조직은 인구 밀집 지역에서 정상 기지국보다 강한 신호를 발산하는 불법 장비로 피해자 스마트폰의 접속을 유도했다. 이 과정에서 고유한 가입자 식별번호(IMSI)를 탈취해 사실상 ‘디지털 쌍둥이 폰’을 만들어낸 뒤 ARS 인증 시스템을 무력화하고 결제를 감행한 것이다. 한 보안 전문가는 "IMSI가 탈취되었다는 것은 사실상 휴대폰을 복제당한 것과 마찬가지다. 인증 시스템의 가장 기본이 되는 통신사 망 자체의 신뢰성이 뚫린 매우 심각한 사안이다"라고 단언했다. 망 자체의 보안이 뚫리면서 통신사가 제공하는 본인 인증 서비스 ‘PASS’ 앱의 신뢰도 역시 크게 흔들렸다. 설상가상으로 지난 15일 LG유플러스에서는 네트워크 핵심 장비를 납품하는 중견 협력사 ‘시큐어키’가 해킹 공격을 받은 사실이 드러났다. 이는 통신망 전체를 마비시킬 수 있는 ‘공급망 공격(Supply Chain Attack)’의 전형적인 시나리오다. 이는 지난 2023년 초 29만명의 개인정보 유출과 연이은 분산서비스거부(DDoS) 공격으로 홍역을 치렀던 LG유플러스의 악몽을 재현한다. 당시에도 협력사 보안 관리 미흡이 원인 중 하나로 지목됐지만 2년이 지난 지금까지도 ‘약한 고리’는 방치됐던 셈이다. ◆ '보안 불감증'이 키운 위기 이번 사태는 우연이 아닌 예고된 문제점에 가깝다. ‘세계 최초’ 타이틀에 집착하며 속도 경쟁에만 몰두하는 동안 보안은 늘 비용 절감의 첫 번째 대상이었다. 먼저 위험의 외주화라는 구조적 문제가 곪아 터졌다. 통신사들은 망 관리, 장비 유지·보수, 고객 데이터 처리 등 핵심 업무까지 수많은 협력사에 의존한다. 본사의 엄격한 보안 통제가 미치지 않는 외주 업체는 해커들에게 손쉬운 먹잇감이다. 또한 기술 변화를 따라가지 못하는 낡은 보안 관행도 문제다. 5G 시대 트래픽 분산을 위해 펨토셀의 중요성이 커졌음에도 미인가 장비가 망에 접속하는 것을 걸러내지 못하는 허술한 관리 체계가 이번 KT 사태를 키웠다. 여기에 솜방망이 처벌이 낳은 도덕적 해이가 더해졌다. 2023년 7월, LGU+ 개인정보 유출 사태 당시 개인정보보호위원회는 역대 최대라며 68억원의 과징금을 부과했지만 이는 연 매출의 0.05% 수준에 불과했다. 한 업계 관계자는 "사고가 터지면 '사과하고 보상'하면 그만이라는 인식이 업계 전반에 퍼져 있다"고 털어놨다. 보안에 수백억을 투자하기보다 사고 후 수십억 과징금을 내는 게 더 이득이라는 왜곡된 비용 계산이 지금의 위기를 불렀다. 김승주 고려대 정보보호대학원 교수는 최근 유튜브 방송 <언더스탠딩>에 출연해 “SKT 사건은 망분리 신화를 무너뜨린 사례이고 KT 사건은 불확실성만 키운 사건”이라며 “정작 더 큰 문제는 행정안전부·외교부 등 정부기관 해킹이 외면되고 있다는 점”이라고 지적하며 통신사를 넘어 국가 전반의 보안 체계 점검이 시급함을 역설했다. ◆ 신뢰 회복을 향한 길...위기를 기회로 두 거대 통신사의 동시다발적 보안 붕괴는 사회 전반에 ‘신뢰의 위기’를 가져왔다. 당장 국민들은 내 휴대폰이 언제든 범죄의 도구가 될 수 있다는 공포에 휩싸였다. 이는 통신사가 야심 차게 추진하던 금융·인증 플랫폼 사업의 근간을 뒤흔든다. 더 큰 문제는 미래 동력의 상실 가능성이다. 정부와 기업이 그리는 6G, 자율주행차, 원격의료, 스마트시티의 대전제는 ‘완벽에 가까운 통신망의 안정성과 보안’이다. 통신망이 해커의 놀이터가 될 수 있다는 사실이 증명된 이상 막대한 투자가 필요한 미래 산업은 신기루가 될 수 있다. 하지만 이번 위기는 새로운 기회가 될 수 있다. 정부는 기간통신망 사업자에 대한 보안 책임을 이사회 차원으로 격상시키고 정보보호최고책임자(CISO)의 독립성과 권한을 보장하는 특단의 대책을 마련해야 한다. 기업의 자진신고에만 의존하는 현행법을 개정해 정부의 직권 조사 권한을 강화하는 것도 시급한 과제다. 통신사 또한 보안을 비용이 아닌 생존을 위한 투자로 인식하는 뼈를 깎는 성찰이 필요하다. 이번 사태를 계기로 민·관·산·학이 모두 힘을 합쳐 대한민국의 디지털 인프라를 한 단계 끌어올리는 전화위복의 계기로 삼아야 한다. 지금이라도 늦지 않았다. K-통신이 쌓아 올린 혁신의 탑이 신뢰라는 굳건한 토대 위에 다시 세워지기를 기대한다.2025-09-18 06:00:00
-
사이버 안보 '총체적 부실'... 국가·기업, 속수무책 뚫린다 [이코노믹데일리] 국가 기간망부터 민간 기업의 핵심 정보까지 대한민국의 사이버 안보 체계가 뿌리부터 흔들리고 있다. 인공지능(AI) 기술을 등에 업은 사이버 공격은 날로 지능화·조직화하며 국경을 넘나드는 ‘전쟁’의 양상을 띠고 있지만 국내 대응은 ‘소 잃고 외양간 고치는’ 수준을 벗어나지 못하고 있다. 민간은 보안 투자를 비용으로 치부하며 소홀히 하고 정부는 명확한 컨트롤타워 없이 부처 간 책임을 떠넘기는 사이 국가 시스템 마비와 핵심 기술 유출이라는 ‘시한폭탄’의 초침이 흘러가고 있다는 지적이 나온다. 최근 발생한 일련의 해킹 사태는 이러한 위기를 단적으로 보여준다. 회원 2000만명의 인터넷 서점 예스24는 랜섬웨어 공격에 전산망이 마비돼 나흘간 서비스가 중단됐고 CJ올리브네트웍스는 인증서 파일이 유출돼 북한 해킹 그룹 ‘김수키’ 연루설까지 제기됐다. SK텔레콤에서는 2700만건에 달하는 가입자 식별 정보가 유출됐으며 악성코드는 최소 3년간 잠복해 있었던 것으로 드러났다. 이러한 개별 기업의 피해는 ‘공급망 공격’으로 확산되며 산업 생태계 전체를 위협한다. 올 2월 L그룹의 협력사 S사가 랜섬웨어 공격으로 설계도면, 부품 시험결과 등 기밀문서를 탈취당한 것이 대표적 사례다. 이는 보안이 취약한 협력사를 우회해 대기업을 노리는 최신 공격 트렌드를 반영한다. 이러한 위협은 더 이상 개별 기업의 문제를 넘어 국가 안보 차원의 의제로 부상했다. 최근 이란의 가상화폐 거래소를 공격한 친이스라엘 해킹 조직 ‘프레더토리 스패로’와 이에 맞서 이스라엘 주요 인프라 공격으로 보복한 이란의 사례는 사이버 공간이 이미 새로운 전쟁터가 되었음을 명확히 보여준다. 한 보안 전문가는 “사이버 공간에서의 총성 없는 전쟁은 이미 현실이 됐다”며 “과거에는 물리적 타격이 전쟁의 시작을 알렸다면 이제는 전력망, 통신, 금융 등 국가 핵심 인프라를 마비시키는 것이 선제공격의 핵심이며 이는 단순 기술 유출을 넘어 사회 전체를 혼란에 빠뜨릴 수 있는 명백한 안보 위협”이라고 진단했다. 그러나 국내 기업들의 현실 인식은 위기감과 거리가 멀다. 시가총액 상위 10대 그룹 계열사 87곳의 지난해 정보보호 투자액은 9849억원으로 전년 대비 18.2% 증가했지만 정보기술(IT) 투자액 대비 정보보호 투자 비중은 5.8%로 제자리걸음이었다. 이는 IT 예산의 평균 26%를 사이버보안에 지출하는 미국 기업의 4분의 1에도 미치지 못하는 수준이다. 인력 구조의 허점도 심각하다. 정보보호 인력 3명 중 1명(35%) 이상이 외주에 의존하고 있으며 특히 SK그룹은 그 비중이 72.6%에 달했다. 한 보안 컨설팅 업계 전문가는 “보안은 단순한 기능이 아니라 조직 문화와 깊이 연관되어야 한다”며 “외부 인력에 과도하게 의존하는 구조는 비상 상황 발생 시 신속하고 책임 있는 의사결정을 저해할 수 있으며 핵심 방어 역량은 반드시 내재화하여 충성도와 전문성을 동시에 갖춘 방패를 만들어야 한다”고 강조했다. 보안 정책을 총괄하는 최고정보보호책임자(CISO)의 위상과 권한이 미흡한 것도 구조적 문제다. 대기업 계열사 4곳 중 1곳은 CISO가 임원이 아니었으며 전체의 72.4%는 다른 직책을 겸직하고 있었다. 심지어 한 KT 자회사는 정보보호와 정반대의 목표를 가진 최고재무책임자(CFO)가 CISO를 겸직하는 이해충돌 상황까지 벌어졌다. CISO가 임원급 의사결정권을 갖지 못하면 예산 확보와 신속한 위기 대응은 요원할 수밖에 없다. 또 다른 보안 전문가는 “기업의 정보 자산은 곧 미래 경쟁력과 직결된다”면서 “‘우리는 안전하다’는 막연한 자신감을 버리고 ‘이미 침투당했다’는 전제 하에 데이터를 파편화하고 암호화하는 등 최후의 보루를 지키는 전략으로 전환해야 한다. 해커가 데이터를 가져가더라도 쓸모없게 만드는 것이 핵심”이라고 조언했다. 기업들의 안이한 대응 못지않게 정부의 역할 부재도 심각한 문제로 지적된다. 국가 행정전산망과 법원 해킹 등 공공 시스템이 뚫려도 수개월째 범인조차 특정하지 못하고 있으며 사이버 위협 대응 연구·개발(R&D) 예산은 오히려 전년 대비 8% 삭감됐다. 무엇보다 심각한 것은 재난 상황을 일사불란하게 지휘할 컨트롤타워의 부재다. 미국(CISA), 영국(NCSC) 등 주요국은 모두 국가 차원의 사이버 안보 기관을 운영하지만 한국은 관련 이슈가 터지면 과기정통부, 경찰, 국방부, KISA 등이 각자 대응해 효율성이 떨어진다. 실제로 예스24는 해킹 사고 후 KISA의 기술 지원 협조 요청을 거부했지만 이를 강제할 수단이 없었다. 컨트롤타워 설립과 민관 합동 대응 체계 구축을 골자로 하는 ‘사이버안보기본법’은 국가기관의 민간 사찰 우려라는 인권 논란에 발목이 잡혀 2006년 이후 18년째 국회 문턱을 넘지 못하고 있다. 한 보안업계 관계자는 “개별 기업의 방어 노력만으로는 국가 단위로 움직이는 해킹 조직을 막아낼 수 없다”며 “범정부 차원의 강력한 리더십 아래 민관이 유기적으로 협력하는 통합 방어 체계가 절실하며 AI 기반의 차세대 위협에 맞서려면 방어 기술 R&D에 국가적 역량을 집중하고 이를 산업계와 신속하게 공유하는 선순환 구조를 만들어야 한다”고 역설했다.2025-07-03 06:05:00
많이 본 뉴스
영상
Youtube 바로가기
![[기자수첩] 국감에 설 예정인 건설사 CEO들, 책임 공방을 넘어설 수 있을까](https://image.ajunews.com/content/image/2025/10/01/20251001085415761795_518_323.jpg)