이코노믹데일리 - 경제의 새로운 지평을 여는 웹4.0 선도 미디어

이코노믹데일리 - 정확한 뉴스와 깊이 있는 분석

검색

패밀리 사이트: 아주경제; 아주로앤피; 아주일보

회원서비스: 로그인; 회원가입; 지면보기; 네이버블로그

2025.09.27 토요일

흐림 서울 23˚C

흐림 부산 24˚C

흐림 대구 24˚C

흐림 인천 23˚C

흐림 광주 24˚C

흐림 대전 24˚C

흐림 울산 23˚C

흐림 강릉 21˚C

흐림 제주 25˚C

검색결과 총 58건

KT 해킹, 펨토셀 정보 도용한 '불법 기지국' 사용 가능성…범죄 수법 미궁 속으로 [이코노믹데일리] KT 무단 소액결제 사태의 전말을 밝혀줄 핵심 단서가 될 범행 장비가 경찰에 압수되면서 범죄 수법이 단순한 펨토셀(초소형 기지국) 재활용을 넘어선 고도화된 방식일 수 있다는 분석에 무게가 실리고 있다. 펨토셀의 고유 인증 정보를 도용한 ‘불법 기지국’이나 ‘유심(USIM) 복제’를 통한 신종 금융 사기 ‘심스와핑(SIM Swapping)’ 가능성이 새롭게 제기된 것이다. 경기남부경찰청은 25일 이번 사건의 중국 국적 피의자 2명을 검찰에 송치했으며 이들이 중국으로 밀반출하려던 네트워크 장비 부품 27개를 압수했다고 밝혔다. 이 장비가 KT가 보급했던 펨토셀인지 아니면 다른 불법 장비인지는 아직 확인되지 않았다. 하지만 KT가 “해킹에 사용된 장비가 KT 망에 연동된 이력이 있다”고 밝힌 점은 중요한 대목이다. 이는 피의자들이 기존 펨토셀 장비 자체를 그대로 사용한 것이 아니라 미상의 경로로 확보한 펨토셀의 '고유 인증 정보'를 추출해 자신들의 불법 장비에 이식했을 가능성에 무게를 싣는다. 즉 KT 망에는 정상 장비로 인식되지만 실제로는 해커가 통제하는 ‘위장 기지국’을 통해 이용자들의 통신 정보를 가로채 ARS 인증 등을 탈취했을 수 있다는 분석이다. 이와 함께 해외에서 기승을 부리는 ‘심스와핑’ 범죄일 가능성도 배제할 수 없다. 심스와핑은 해커가 통신사나 내부자를 기만해 피해자의 전화번호로 새로운 유심칩을 발급받은 뒤 이를 이용해 금융 거래에 필요한 인증 정보를 가로채는 수법이다. 영국 BBC 보도에 따르면 영국에서는 2024년에만 3000건이 넘는 심스와핑 사례가 보고됐으며 지난달에는 한 사업가가 이 수법으로 25만 파운드(약 4억7000만원)를 탈취당하기도 했다. KT는 그동안 “유심의 고유식별번호(IMSI)와 인증키(Ki) 값은 암호화되어 있어 기술적으로 복제가 어렵다”며 심스와핑 가능성을 일축해왔다. 그러나 해커들이 서버 해킹 등 다른 경로를 통해 유심 복제에 필요한 정보를 확보했을 경우 이를 바탕으로 통신 시스템의 허점을 파고들었을 가능성은 여전히 남아있다. 이동통신사들이 이상정보탐지시스템(FDS)을 갖추고는 있지만 이 역시 완벽한 방어막은 아니라는 지적이다. 한 보안 전문가는 “불법 기지국이 범행 대상 이용자에 대한 통신을 중간에서 가로채 ARS 인증값 등을 알아낸 것으로 보인다”면서도 “유심 복제는 고도의 기술이 필요한 만큼 현재 알려진 정보만으로 단정하긴 어렵다”고 신중한 입장을 보였다. 결국 이번 사태는 KT의 허술한 펨토셀 관리가 범죄의 빌미를 제공한 것을 넘어 이를 악용한 고도화된 신종 사이버 금융 범죄의 시작일 수 있다는 우려를 낳고 있다. 경찰이 압수한 장비에 대한 정밀 분석 결과가 나와야 이번 해킹 사태의 정확한 전말이 드러날 것으로 보인다.
2025-09-25 15:23:03
방통위,'주민번호 대체' CI까지 뚫렸나…롯데카드 해킹 후속 조치로 '안전 실태' 점검 [이코노믹데일리] 방송통신위원회가 롯데카드 해킹 사고와 관련해, 주민등록번호를 암호화한 ‘연계정보(Connecting Information, CI)’의 안전 관리 실태에 대한 긴급 점검에 착수했다. 방통위는 22일 최근 롯데카드 해킹으로 개인정보와 함께 CI 유출 사실이 확인됨에 따라 이에 대한 안전조치 및 관리 실태를 점검한다고 밝혔다. CI는 주민등록번호 대신 이용자를 식별하는 데 사용되는 핵심 개인정보로 유출될 경우 여러 서비스에 흩어져 있는 개인정보가 하나로 연결돼 심각한 2차 피해를 유발할 수 있다. 방통위와 한국인터넷진흥원(KISA)으로 구성된 점검반은 이날부터 △CI와 주민등록번호의 분리 보관 △저장·전송 구간 암호화 △침해사고 대응 계획 등을 집중적으로 살펴볼 예정이다. 방통위는 점검 결과, 안전조치 미흡 등 정보통신망법 위반 사항이 발견될 경우 과태료 처분 등 엄정하게 조치하고 추가적인 이용자 보호 방안도 검토할 계획이다.
2025-09-22 09:13:04
LG유플러스, '해킹 청정' 속 신용등급 '긍정적' 상향…정부 인지조사는 '시험대' [이코노믹데일리] SK텔레콤과 KT가 연이어 터진 대규모 해킹 사태로 신뢰에 큰 타격을 입은 가운데 이동통신 3사 중 유일하게 ‘해킹 청정구역’을 고수하고 있는 LG유플러스가 시장의 긍정적인 평가를 받으며 차별화된 행보를 보이고 있다. 견고한 실적과 강화된 사업 경쟁력을 바탕으로 신용등급 전망이 상향 조정됐지만 한편으로는 정부의 ‘인지조사’가 진행되고 있어 이번 조사가 오히려 LG유플러스의 보안 안정성을 공인받는 시험대가 될 수 있다는 전망이 나온다. ◆ 시장에서는 ‘긍정적’ 평가…“사업경쟁력 강화” 시장은 LG유플러스의 성장세에 주목하고 있다. 한국신용평가는 지난 17일 LG유플러스의 신용등급 전망을 기존 ‘안정적’에서 ‘긍정적’으로 상향 조정했다. 알뜰폰(MVNO)을 포함한 무선통신 가입자 점유율이 2015년 말 20.2%에서 올해 6월 27.4%까지 꾸준히 상승하는 등 핵심 사업의 경쟁력이 강화됐다는 평가다. 한신평은 단통법 폐지 이후에도 마케팅 경쟁이 과열되지 않고 있어 5G 도입 이후 확대된 이익창출력을 유지할 것으로 전망했다. 이러한 긍정적인 평가 속에서 정부의 조사는 LG유플러스에게 또 다른 기회가 될 수 있다는 분석이다. 개인정보보호위원회는 지난 10일 ‘프랙(Phrack)’ 보고서 등을 근거로 LG유플러스에 대한 ‘인지조사’에 착수했다. 이는 LG유플러스의 협력사인 ‘시큐어키’가 해킹 피해를 신고한 데 따른 것이다. 이에 대해 LG유플러스는 현재까지 “자체 점검 결과 협력사를 통해 본사 서버로 침입한 흔적은 없었다”는 입장을 일관되게 유지하고 있다. LG유플러스는 “비밀번호는 일방향으로 암호화돼 복호화하는 게 불가능하고 자사 서버 침투 흔적도 없다”며 협력사의 피해가 자사 시스템의 침해로 이어지지는 않았다고 선을 긋고 있다. 결국 이번 정부의 인지조사는 LG유플러스의 주장이 사실인지를 공적으로 검증하는 과정이 될 전망이다. 만약 조사 결과에서도 ‘침해 흔적 없음’이 최종 확인된다면 LG유플러스는 경쟁사들과 달리 강력한 보안 체계를 갖추고 있음을 공인받게 되어 시장의 신뢰를 한층 더 확보하는 계기가 될 수 있다. 정부는 이번 사태를 계기로 기업이 고의로 신고를 지연하거나 누락할 경우 과태료를 강화하는 등 제도 개선에 나서겠다는 방침이다. 류제명 과학기술정보통신부 2차관은 지난 19일 브리핑에서 “보안 없이는 디지털 전환도 AI 강국도 사상누각에 불과하다”며 “임시방편 대응이 아닌 근본적 대책을 마련하겠다”고 밝힌 바 있다. 이러한 정부의 강경한 기조 속에서 LG유플러스가 ‘해킹 무사고’라는 타이틀을 지켜낼 수 있을지 귀추가 주목된다.
2025-09-20 13:30:36
조좌진 롯데카드 대표 "고객 297만명 정보 유출...28만명은 부정사용" [이코노믹데일리] 조좌진 롯데카드 대표가 최근 발생한 해킹 사고와 관련 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명으로 이중 유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라며 "피해 보상 및 방지에 나설 것"이라고 고개를 숙였다. 조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 언론 브리핑을 통해 이 같이 말했다. 롯데카드는 지난달 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견하고 전체 서버에 대한 정밀 조사를 실시했다. 자체 조사 결과 해킹 시점은 같은달 13일로 신원 미상의 해커가 온라인 결제 시스템에 웹쉘 악성코드를 설치해 27일까지 정보를 반출한 것으로 파악됐다. 이어 롯데카드는 지난달 31일 외부 공격자가 1.7GB(기가바이트) 분량의 데이터 반출을 시도했던 흔적을 발견하고 다음날인 이달 1일 금융당국에 침해사고 사실을 보고했다. 이후 금융감독원·금융보안원의 현장 검사 결과 기존에 파악됐던 1.7GB보다 훨씬 큰 규모인 약 200GB의 반출 정황이 발견됐으며 지난 17일 특정 고객의 정보 유출 사실이 확인됐다. 최종적으로 확인된 유출 피해 회원 규모는 총 297만명으로 유출 정보는 △CI △가상결제코드 △내부식별번호 △간편결제 서비스 종류 등이다. 특히 유출 고객 중 지난 7월 22일부터 지난달 27일 사이 신규 페이결제 서비스·커머스 사이트에 카드 정보를 등록한 고객 28만명은 부정 사용 피해 발생 가능성도 있는 것으로 나타났다. 해당 고객의 유출 정보는 △카드번호 △유효기간 △CVC 등으로 단말기에 카드정보를 직접 입력해 결제하는 '키인' 거래 분야에서 부정사용이 가능할 수 있다. 조 대표는 "온·오프라인 결제 시 실물 카드 정보· 2차 인증 절차가 필요해 부정사용이 불가능한 수준"이라며 "암호화 파일이 유출된 28만명을 제외한 나머지 고객은 부정사용 가능성이 없다"고 설명했다. 이어 "현재까지 이번 해킹 사고가 소비자 피해로 이어진 사례는 한 건도 없다"고 덧붙였다. 조 대표는 피해 고객을 대상으로 △보상·방지 △정보보호 투자 확대 △대대적인 조직 쇄신 등을 약속했다. 롯데카드는 먼저 대표이사 주재로 전사적 비상대응체계에 돌입하고 정보가 유출된 고객 297만명 전원에게 유출 안내 메세지를 전달할 계획이다. 또한 카드 유출 고객 전원에게는 △10개월 무이자 할부 △금융피해 보상 서비스 크레딧 케어 △카드사용 알림 서비스 등의 보상이 지원된다. 이어 최우선 재발급 대상인 28만명에게는 카드 재발급 시 차년도 연회비를 면재해줄 예정이다. 조 대표는 정보보안 투자 강화 및 조직 쇄신에 나설 계획이다. 조 대표는 "현재의 기능 중심적으로 구성된 조직을 고객보호 중심으로 대전환 시키고 대표이사인 저를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다"며 "향후 5년간 1100억원의 정보보호 관련 투자를 집행하겠다"고 말했다. 이어 "앞으로 고객 피해를 제로화하고 고객 불편을 최소화하는 임무가 롯데카드 대표이사로서의 마지막 책무"라며 "이번 일로 심려를 끼쳐드리게 된 점 진심으로 머리 숙여 사과의 말씀을 드린다"고 덧붙였다.
2025-09-18 15:57:42
삼성전자, '개인 맞춤형 기능 제공' One UI 8 업데이트 시작 [이코노믹데일리] 삼성전자가 원 UI 8(One UI 8) 업데이트를 15일부터 순차적으로 시작한다고 16일 밝혔다. 이번 업데이트를 통해 고도화된 멀티모달 기능과 다양한 기기에 최적화된 이용자 경험(UX)과 개인 맞춤형 기능 등을 사용자에게 제공할 예정이다. 16일 삼성전자에 따르면 원 UI 8 업데이트는 갤럭시 S25 시리즈를 시작으로 지원 대상 기기를 연내 확대할 예정이다. 갤럭시 S 22~24 시리즈, 갤럭시 Z 폴드·플립 4~6, 갤럭시 탭 S8~10 시리즈, 갤럭시 A시리즈 등에서 순차 적용될 예정이다. '원 UI 8'은 개인 맞춤형 제안 등 AI 경험을 제공하며 강력한 보안 기술로 정보를 보호한다. '나우 브리프(Now Brief)'는 교통 상황, 주요 알림, 헬스 등 더 많은 정보를 개인 맞춤형으로 제공한다. 사용자는 구독 현황과 관심사를 기반으로 음악과 영상을 추천받을 수 있으며, 갤럭시 워치 기반의 맞춤형 건강 인사이트도 손쉽게 받아볼 수 있다. 원 UI 7에 처음 적용된 '나우 바(Now Bar)'에서는 전화, 방해금지 모드, 삼성 월렛 등의 애플리케이션(앱) 활동을 플렉스윈도우에서 추가로 보여주고 더 많은 서드파티(제3자) 앱과도 연동돼 더욱 다양한 정보를 제공한다. 특히 제미나이 라이브는 구글 검색 서비스로 화면 또는 카메라 공유 기능을 사용해 기존의 텍스트 기반 검색 방식에서 벗어나 즉각적인 음성 답변을 제공한다. 인공지능(AI) 사용이 확대됨에 따라 개인화된 AI 기반 기능을 안전하게 사용할 수 있도록 신규 보안 설루션인 '킵(KEEP)'도 도입했다. 갤럭시의 '퍼스널 데이터 엔진(PDE)'에서 사용되는 킵은 기기의 보안 스토리지 영역 내에 앱별로 분리된 암호화 저장 공간을 생성해 각 앱이 자신의 민감한 정보에만 접근할 수 있고 다른 앱의 정보에는 접근할 수 없도록 제한한다. 더욱 강력해진 '녹스 매트릭스(Knox Matrix)'는 기기가 심각한 위험에 처하면 자동으로 삼성 계정에서 로그아웃 처리해 삼성 계정 기반 서비스로의 접근을 차단하고 위협이 확산하는 것을 방지한다. 연결된 갤럭시 기기 전반에 알림을 보내 사용자가 보안 관련 조치를 취할 수 있게 한다. One UI 8 업데이트는 한국을 시작으로 북미, 유럽 등 차례대로 진행될 예정이다.
2025-09-16 10:46:13
빗썸, 모바일신분증 민간앱 인증 확대…카카오뱅크·토스 등 포함 [이코노믹데일리] 가상자산 거래소 빗썸이 모바일 신분증을 활용한 고객 확인(KYC) 서비스의 편의성을 대폭 강화했다. 빗썸은 정부의 모바일 신분증 민간 개방 정책에 맞춰 기존 정부앱 외에 카카오뱅크, 토스, 네이버 등 주요 금융 및 플랫폼 앱을 통한 모바일 신분증 인증을 추가로 지원한다고 밝혔다. 현재 국내 가상자산 거래소 중 정부앱과 민간앱 인증을 동시에 지원하는 곳은 빗썸이 유일하다. 이에 따라 이용자들은 지난 15일 빗썸 앱 업데이트 이후부터 고객 확인 과정에서 자신이 발급받은 모바일 주민등록증이나 운전면허증을 정부앱 또는 주요 민간앱 중에서 편리하게 선택해 인증할 수 있다. 모바일 신분증은 단말기 보안 영역에 암호화되어 저장되고 블록체인 기술로 위·변조를 검증할 수 있어 보안성이 높다는 장점이 있다. 빗썸 관계자는 "이번 모바일 신분증 확대 적용은 고객분들께 보다 쉽고 안전한 인증 환경을 제공하기 위한 노력의 일환"이라며 "정부의 디지털 혁신 정책에 발맞춰 고객이 보다 쉽고 안전하게 거래할 수 있도록 혁신을 이어가겠다"고 말했다.
2025-09-16 09:46:33
KT·LGU+, '해킹 침해 없다'더니…협력업체는 KISA에 '해킹 신고' [이코노믹데일리] LG유플러스가 최근 불거진 해킹 의혹에 대해 “침해 사실이 없다”는 입장을 고수하는 가운데 정작 LG유플러스의 서버 관리를 담당하는 핵심 협력업체는 한국인터넷진흥원(KISA)에 해킹 피해를 공식 신고한 것으로 드러나 파문이 일고 있다. 이는 LG유플러스의 해명이 사실과 다르거나 최소한 사건의 심각성을 축소하려는 ‘꼬리 자르기’ 시도 아니냐는 비판을 피하기 어려워 보인다. 15일 국회 과방위 소속 국민의힘 박충권 의원실이 KISA로부터 제출받은 자료에 따르면 LG유플러스의 외주 보안업체 ‘시큐어키’는 지난 7월 31일 KISA에 시스템 해킹 사실을 자진 신고했다. KISA는 신고 다음 날인 8월 1일부터 시큐어키에 대한 기술 지원(조사)에 착수했다. 이는 지난달 미국 보안 전문지 ‘프랙(Phrack)’이 제기한 의혹과 정확히 일치한다. 당시 프랙은 해커 집단이 시큐어키를 먼저 해킹해 계정 정보를 탈취한 뒤 이를 이용해 LG유플러스 내부망에 침투, 8900여 대의 서버 정보와 4만2000여 개의 계정 정보를 빼돌렸다고 보도했다. KISA는 이미 지난 7월 19일, 화이트해커의 제보를 통해 이러한 해킹 정황을 입수하고 LG유플러스와 KT 그리고 시큐어키 측에 침해사고 신고를 안내했다. 하지만 LG유플러스와 KT는 “유출 사실이 확인되지 않는다”며 신고를 거부했고 시큐어키만이 KISA의 요청에 응해 공식적인 조사 절차에 들어간 것이다. 이에 대해 LG유플러스는 “시큐어키를 통해 유출된 아이디, 패스워드로는 현재까지 자사 서버에 침투한 흔적이 발견되지 않았기 때문에 침해 신고를 하지 않았다”며 “패스워드가 일방향 암호화로 복호화가 불가능하기 때문”이라고 해명했다. 그러면서도 “진행 중인 과학기술정보통신부 조사에 최대한 협조해 모든 내용을 투명하게 밝힐 수 있게 하겠다”고 덧붙였다. 하지만 협력업체가 해킹 피해를 공식 인정한 상황에서 원청인 LG유플러스가 ‘침해 흔적이 없다’고 주장하는 것은 설득력이 떨어진다는 지적이 나온다. 박충권 의원은 “이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것”이라며 “국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고 재발 방지를 위해 법과 제도를 반드시 정비해야 한다”고 강조했다. 결국 이번 협력업체의 신고로 인해 해킹 의혹의 진실을 밝힐 공은 정부의 민관합동조사단으로 넘어가게 됐다. LG유플러스가 과연 협력사의 보안 실패와 무관한지 아니면 책임을 회피하고 있는 것인지 조사 결과에 귀추가 주목된다.
2025-09-15 16:41:27
개인정보위, "유출사고 반복 기업 과징금 가중...'당근과 채찍'으로 기업 체질 개선 유도 [이코노믹데일리] SK텔레콤의 대규모 개인정보 유출 사태를 계기로 정부가 규제 패러다임을 ‘사후 제재’에서 ‘사전 예방’으로 전면 전환한다. 반복적으로 사고를 일으키는 기업에는 과징금을 가중하는 한편 평소 정보보호에 적극적으로 투자한 기업에는 과징금을 감경하는 방식으로 ‘당근과 채찍’을 병행해 기업의 자발적 보안 체질 개선을 유도한다는 방침이다. 개인정보보호위원회는 11일 이 같은 내용을 담은 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 최장혁 개인정보위 부위원장은 브리핑에서 “사후 땜질식 규제로는 급변하는 해킹 기술에 대응할 수 없다”며 “기업이 적극적으로 선제적 보호조치를 취할 수 있는 인센티브 중심 체계로 전환한다”고 밝혔다. ◆ ‘CEO 책임’ 명시, ‘CPO 권한’ 강화..반복 사고엔 ‘징벌적 과징금’ 이번 대책의 핵심은 기업의 상시적 내부통제 강화다. 개인정보 보호의 최종 책임이 최고경영자(CEO)에게 있음을 명확히 하고 개인정보보호책임자(CPO)의 실질적 권한을 대폭 강화한다. CPO 지정 신고제를 도입하고 이사회에 정기적으로 개인정보 보호 현황을 보고하도록 의무화해 CPO가 실질적인 컨트롤타워 역할을 할 수 있도록 제도를 정비한다. 또 대규모 개인정보를 처리하는 기업(매출 1500억원 이상, 100만명 이상 정보 처리)은 최소 1명 이상의 개인정보보호 전담 인력을 배치하고 전체 정보화 예산의 최소 10%를 개인정보보호 예산으로 확보하도록 기준을 제시했다. 이 기준을 충족하는 기업에는 과징금 감경 등 인센티브를 제공하는 방안도 검토 중이다. ‘채찍’도 강화된다. 같은 원인으로 유출 사고를 반복하는 기업에는 과징금을 가중하고 중장기적으로는 ‘징벌적 과징금’ 도입도 검토한다. 최 부위원장은 “징벌적 과징금 제도는 다른 법률과의 관계가 있어 연구를 통해 장기적으로 추진할 방침”이라면서도 “현재 과징금 부과 체계에도 다양한 가중·감경 제도가 있어 이를 적극 활용하면 법 개정 전에도 일정 효과를 낼 수 있다”고 설명했다. 피해자 구제도 실질화된다. 중대한 피해가 예상될 경우 실제 유출된 사람뿐 아니라 유출 가능성이 있는 사람에게까지 통지 의무를 확대하고 부과된 과징금을 피해자 구제기금으로 활용하는 방안도 추진한다. 이는 과징금이 국고로 귀속돼 피해자에게 실질적 도움이 되지 않는다는 지적을 반영한 것이다. 이 밖에도 △주요 개인정보처리시스템에 대한 공격표면 관리 강화 및 모의해킹 정례화 △전화번호·상세주소 등 민감 정보의 암호화 대상 확대 △개인정보보호관리체계(ISMS-P) 인증 단계적 의무화 △개인정보 유출 대비 보험상품 개발 유도 등 다각적인 대책이 포함됐다. 고학수 개인정보위원장은 “사업자들이 개인정보 보호를 위한 투자를 단순히 ‘불필요한 비용’으로 여기지 말고 고객 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식해야 한다”고 강조했다.
2025-09-11 18:10:04
KT '유령 결제' 원인, '가짜 기지국'으로 좁혀지나…통신망 보안 '총체적 부실' 드러내 [이코노믹데일리] 수도권 일대를 덮친 KT 가입자 대상 ‘유령 소액결제’ 사태의 원인으로 ‘가짜 기지국(False Base Station, FBS)’이 유력하게 떠오르고 있다. KT가 자체 조사 과정에서 자사가 운영하지 않는 불법 기지국의 접속 정황을 포착하고 정부에 보고한 것으로 확인되면서 이번 사태가 단순 개인정보 유출을 넘어 국가 기간 통신망의 보안이 뚫린 심각한 사건일 수 있다는 우려가 최고조에 달하고 있다. 과학기술정보통신부는 지난 9일, KT로부터 사이버 침해 사고 신고를 접수하고 즉시 민관 합동 조사단을 구성해 현장조사에 착수했다고 밝혔다. 특히 과기정통부는 “KT가 고객 무단 소액결제 침해사고 원인의 하나로 불법 초소형 기지국의 통신망 접속을 언급했다”고 밝혀 ‘가짜 기지국’이 이번 사태의 핵심 원인일 가능성을 공식화했다. ‘가짜 기지국’은 이동통신 기지국을 모방한 장치를 이용해 특정 지역 내 스마트폰의 접속을 유도한 뒤 통신 내용을 도청하거나 개인정보를 탈취하는 고도의 해킹 수법이다. 이번 사건의 피해자들이 악성 앱 설치나 스미싱 링크 클릭 없이 특정 지역(광명·금천·부천 등)에서 새벽 시간대에 집중적으로 피해를 본 정황은 가짜 기지국 시나리오를 강력하게 뒷받침한다. 과기정통부는 KT의 보고 직후, 10일 오전 12시 보도자료를 통해 “불법 기지국이 통신망에 접근하지 못하도록 즉각적인 대책을 요구했다”고 밝혔다. 하지만 전문가들은 이번 사태가 단순 ‘가짜 기지국’ 문제를 넘어설 수 있다고 경고한다. 한 통신 보안 전문가는 “가짜 기지국 공격은 통신망의 암호화 체계가 상대적으로 취약했던 과거에나 유효한 방식”이라며 “최신 5G 망에서 소액결제에 필요한 인증 정보까지 탈취하려면 단순히 기지국을 위장하는 것을 넘어 유심 정보를 복제하거나 통신망과 단말기 사이에서 데이터를 직접 가로채는 ‘중간자 공격(MITM, Man in the Middle)’과 같은 더 정교한 수법이 결합됐을 가능성이 크다”고 분석했다. 복제 유심을 통해 피해자의 단말기를 그대로 복제한 뒤 인증 절차를 가로채 소액결제를 감행했을 것이라는 추측이다. 이번 사태의 전말은 이제 정부의 손에 넘어갔다. 최우혁 과기정통부 정보보호네트워크정책관을 단장으로 하는 민관합동조사단은 KT의 자체 분석 결과를 검증하고 불법 기지국 외 다른 가능한 침해 원인에 대해서도 심도 있는 조사를 진행할 계획이다. 피해 규모는 계속 늘어나고 있다. 9일까지 광명, 금천, 부천 등에서 공식 확인된 피해액만 5000만 원을 넘어섰으며 인천 등 다른 지역에서도 유사 피해 신고가 접수되고 있어 실제 피해 규모는 훨씬 더 클 것으로 보인다. KT는 지난 8일 저녁 KISA에 사이버 침해를 공식 신고하며 “개인정보 해킹 정황은 없다”고 밝혔지만 ‘가짜 기지국’이라는 최악의 시나리오가 현실화될 경우 이는 KT의 보안 시스템뿐만 아니라 대한민국 통신망 전체의 신뢰성에 대한 근본적인 질문을 던지는 중대한 사건으로 기록될 전망이다.
2025-09-10 01:12:54
삼성전자·LG전자, 로봇청소기 보안 이끌지만…국내 제도는 여전히 미비 [이코노믹데일리] 자사 개발 보안 프로그램을 활용한 삼성전자와 LG전자 로봇청소기가 보안성 부문에서 우수한 것으로 나타났지만 전문가들은 제도적인 규제가 시급하다고 평가했다. 지난 2일 한국소비자원의 '로봇청소기(보안 취약점 중심) 안전실태조사'에 따르면 일부 기업들의 로봇청소기에선 보안 취약점이 나타났으나 삼성전자와 LG전자는 보안성 평가에서 높은 점수를 받았다. 이번 안전실태 조사는 모바일 애플리케이션(앱) 보안 항목 16개, 정책 관리 항목 3개, 기기 보안 항목 21개 등 총 40개 항목을 점검했다. 삼성전자와 LG전자는 기기 보안 항목 중 펌웨어 항목 2개 부문을 제외한 나머지 항목에서 모두 합격점을 받았다. 미국 사이버 보안 컨설팅업체 아이오액티브는 지난 2017년 가정용 로봇에 대한 해킹의 위험성을 경고한 바 있지만 아직 많은 가정용 로봇은 보안에 있어 취약하다. 곽진 아주대 사이버보안학과 교수의 연구실의 IoT(사물 연결 인터넷) 기기에 대한 설명에 따르면 IoT 기기는 네트워크에 연결된 다양한 센서와 장치로 구성돼 있어 해킹에 보다 약하다. 삼성전자는 자사 개발 보안 프로그램 '삼성 녹스', '녹스 매트릭스', '녹스 볼트' 등을 로봇청소기에 탑재했다. 또한 연결된 기기가 서로의 보안 상태를 확인 및 차단하는 '녹스 매트릭스'의 트러스트 체인 기술과 민감한 개인정보를 하드웨어 보안 칩에 별도 보관하는 '녹스 볼트'도 탑재했다. 공식적으로 삼성 녹스와 보안 폴더가 뚫린 사례는 경찰 수사 중 비밀번호가 적힌 종이가 발견돼 뚫린 한 건을 제외하면 없는 것으로 알려졌다. LG전자는 'LG 쉴드'라는 자사 개발 보안 프로그램을 통해 개인 정보 등 민감 정보를 암호화한 뒤 암호화를 푸는 열쇠를 분리된 공간에 저장해 정보 유출을 방지한다. LG 쉴드는 데이터 저장, 데이터 전송, 사용자 인증, 소프트웨어 무결성, 업데이트, 암호 알고리즘, 보안 이벤트 탐지 등 넓은 범위의 보안 기술을 제공하는 것으로 알려졌다. 특히 LG 쉴드는 하드웨어와 소프트웨어 간의 소통을 중재하는 '리눅스 커널'을 실시간으로 감시하고 보호하는 'EKP' 기술을 통해 보안 위협의 시도 자체를 차단하는 구조로 설계됐다. 하지만 업계에서는 개별 기업 중심의 대응에만 의존하고 있는 현재의 구조는 언젠가 문제를 초래할 수밖에 없을 것으로 예상하고 있다. 김기형 아주대 사이버보안학과 교수는 "제조회사가 과도한 권한을 가지는 것에 대해 일차적으로 우려가 되며 제조회사가 해킹당할 경우 심각한 위험이 발생할 것"이라며 "제조회사의 해킹 사고 발생 시 책임 소재가 불분명하며 제3자의 해킹으로 인한 보안 침해 위협이 존재한다"고 말했다. 또한 김 교수는 "국내 제조사 뿐만 아니라 해외 제조사에 대한 관리 체계 마련이 시급하며, 개인 정보의 국외 유출을 막기 위한 규제가 필요하다"라며 "아직 국내에서 사고가 발생하지 않았지만 IoT 제품의 표준으로 사용되는 '매터'에 대한 체계적인 연구와 제조회사 관리 체계 구축이 시급하다"고 말했다.
2025-09-04 14:11:50
SKT, 1348억 과징금…'총체적 부실' 책임에 '전면 쇄신' 약속 [이코노믹데일리] 개인정보보호위원회가 SK텔레콤에 사상 최대 규모인 1348억원의 과징금을 부과했다. 대한민국 1위 통신사업자의 명성을 무색게 한 ‘총체적 보안 부실’에 대한 엄중한 책임 추궁이다. SK텔레콤은 당혹감 속에서 법적 대응까지 고심하고 있지만 동시에 이번 사태를 뼈아픈 교훈 삼아 전면적인 쇄신에 나서겠다는 의지를 보이고 있다. 천문학적 과징금은 끝이 아닌 새로운 시작을 강제하는 신호탄이 되고 있다. 개인정보위의 3개월간의 집중 조사는 SK텔레콤의 보안 체계가 얼마나 허술했는지를 낱낱이 드러냈다. 2021년 8월 해커의 최초 침투 이후 2324만 명의 유심(USIM) 인증키를 포함한 핵심 정보가 유출되기까지 회사는 수많은 위험 신호를 놓쳤다. 개인정보위가 위반 행위를 과징금 산정 최고 수준인 ‘매우 중대한 위반’으로 판단한 이유는 명확하다. △8년 넘게 방치된 OS 보안 취약점 △경쟁사들이 10여 년 전부터 시행한 유심 인증키 암호화 미조치 △수천 개 서버 계정정보의 평문 저장 △외부 침입에 무방비였던 네트워크 관리 △해커의 접속 흔적을 발견하고도 무시한 안일한 대응 등 기본적인 보안 의무조차 지키지 않은 사실이 모두 확인됐다. 고학수 개인정보위 위원장은 "회사가 몇 년에 걸쳐 취약 상태에 노출돼 있었고 굉장히 광범위한 종류의 취약점이 있었다"고 지적했다. 조직적 문제도 심각했다. 개인정보 보호책임자(CPO)의 권한이 IT 서비스 영역에만 한정돼 정작 사고가 발생한 핵심 통신 인프라는 관리·감독의 사각지대에 놓여 있었다. 이는 CPO 제도를 형식적으로 운영했음을 방증하는 대목이다. ◆ 당혹감 속 고심하는 SKT, '수용'과 '유감' 사이...위기를 쇄신의 기회로 SK텔레콤은 개인정보위의 결정에 공식적으로 “무거운 책임감을 느낀다”면서도 “조사 과정에서 당사의 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 복잡한 심경을 드러냈다. 내부적으로는 법적 대응을 고심하는 기류가 강하다. 당초 1000억원 미만을 예상했던 과징금이 예상을 훌쩍 뛰어넘으면서 재무적 충격과 대외 신인도 하락을 우려하지 않을 수 없게 됐다. 특히 사고 직후 5000억원 규모의 고객 보상 프로그램을 추진하는 등 피해 구제 노력이 감경 요소로 충분히 반영되지 않았다는 불만도 감지된다. 이미 SK텔레콤은 이번 사태로 시장 점유율 40% 선이 무너지고 2분기 영업이익이 급감하는 등 상당한 타격을 입은 상태다. 여기에 거액의 과징금까지 더해지면서 AI 등 미래 성장 동력에 대한 투자 차질마저 우려되는 상황이다. 하지만 SK텔레콤은 과징금에 대한 법적 대응과는 별개로 이번 위기를 근본적인 체질 개선의 기회로 삼겠다는 의지를 분명히 하고 있다. 단순히 드러난 문제점을 땜질하는 수준을 넘어 조직의 DNA 자체를 바꾸는 대수술에 착수했다. 회사는 CEO 직속의 정보보호 최고 책임자(CISO/CPO) 조직을 신설하고 전사적인 보안 정책을 총괄할 막강한 권한을 부여하는 등 지배구조 개편에 나섰다. 또한 향후 수년간 수천억원 규모의 대규모 투자를 정보보호 분야에 집행, AI 기반의 차세대 보안 관제 시스템을 도입하고 네트워크 전반에 ‘제로 트러스트’ 아키텍처를 적용하는 등 기술적 혁신을 예고했다. 이는 보안을 경영의 최우선 순위에 두겠다는 명확한 선언이다. 결국 SK텔레콤 앞에는 두 갈래 길이 놓여 있다. 하나는 과징금에 대한 법적 공방에 매몰돼 ‘책임 회피’라는 부정적 이미지를 키우는 길이고 다른 하나는 뼈아픈 과오를 인정하고 약속한 쇄신안을 진정성 있게 이행해 ‘보안 선도 대한민국 1등 기업’으로 거듭나는 길이다. 무너진 고객의 신뢰를 회복하는 여정은 이제 막 시작됐다.
2025-08-28 14:33:02
개인정보위, SKT에 역대 최대 과징금 1347억 부과…개인정보 보호, 비용 아닌 투자다 [이코노믹데일리] 개인정보보호위원회가 SK텔레콤에 개인정보 유출 사고의 책임을 물어 역대 최대 규모인 1347억9100만원의 과징금을 부과했다. 개인정보위는 27일 전체회의를 열고 안전조치 의무 위반 등으로 2300여만 명의 개인정보 유출을 야기한 SK텔레콤에 이 같은 제재를 의결했다고 밝혔다. 이는 국내 개인정보 유출 사고 과징금으로는 사상 최고액으로 기업의 개인정보 보호 책임에 대한 강력한 경고 메시지로 풀이된다. 이번 사고는 이동통신 서비스의 핵심인 유심(USIM) 정보가 대규모로 유출됐다는 점에서 사회적 파장이 컸다. 조사 결과 SK텔레콤은 해커가 2021년 8월 내부망에 최초 침투한 이후 약 3년 8개월간 이를 인지하지 못했으며 이 기간 동안 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 것으로 확인됐다. 개인정보위는 이번 사태의 원인을 SK텔레콤의 ‘총체적 관리 부실’로 규정했다. 조사 과정에서 △외부 침입에 취약한 방화벽 설정 △수천 개의 서버 계정정보 암호화 미비 △유심 복제의 핵심 정보인 인증키(Ki) 평문 저장 △2016년에 발견된 치명적 운영체제(OS) 보안 취약점 8년 이상 방치 등 기본적인 보안 조치조차 소홀히 한 사실이 드러났다. 특히 경쟁사인 KT와 LG유플러스가 각각 2014년, 2011년부터 인증키를 암호화해온 사실을 인지하고도 조치하지 않은 점은 심각한 문제로 지적됐다. 개인정보 보호책임자(CPO)의 역할이 IT 영역에만 한정돼 사고가 발생한 통신 인프라 영역은 관리·감독의 사각지대에 놓여 있었던 점, 유출 사실 인지 후 72시간 내 이용자에게 통지해야 하는 의무를 지키지 않은 점도 위반 사항으로 확인됐다. 이에 개인정보위는 과징금과 별도로 과태료 960만원을 부과하고 3개월 내 재발방지대책 수립을 명령했다. 시정명령에는 CPO의 실질적 역할 보장과 함께 사고가 발생한 이동통신 네트워크 시스템에 대한 정보보호관리체계(ISMS-P) 인증 취득 요구 등이 포함됐다. 고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.
2025-08-28 11:17:56
삼성전자 비스포크 AI 가전, 'IoT 보안' 인증 획득 [이코노믹데일리] 삼성전자가 터치스크린 AI(인공지능) 냉장고와 로봇청소기로 독일 사이버 보안 인증기관인 튀프노르트(TÜV Nord)의 '사물인터넷(IoT) 보안' 인증을 획득해 차별화된 보안 기술력을 입증했다. 최근 유럽이 보안 기준을 강화하는 흐름에 발맞춰 선제적으로 보안 인증을 획득해 삼성의 글로벌 경쟁력을 한층 높였다. 9형 'AI 홈' 터치스크린을 탑재한 2025년형 '비스포크 AI 하이브리드' 냉장고, 32형 대형 터치스크린이 적용된 2024년형∙2025년형 '비스포크 AI 패밀리허브' 냉장고, 2024년형 '비스포크 AI 스팀' 로봇청소기 그리고 올해 출시 예정인 2025년형 신제품 로봇청소기까지 총 4개의 삼성전자 제품이 인증을 획득했다. 제품 설계부터 운영까지 전 과정에 걸쳐 엄격한 검증을 수행하고 있는 ‘TÜV Nord’의 IoT 사이버 보안 인증은 유럽전기통신표준협회(ETSI)가 제정한 국제 표준 'ETSI EN 303 645'에 기반한 보안성과 개인정보 보호 수준을 종합 평가해 부여된다고 알려졌다. 삼성전자는 이번에 인증을 획득한 AI 냉장고와 로봇청소기 제품들은 모두 데이터 암호화, 인증∙접근 제어, 보안 소프트웨어 업데이트, 개인정보 보호, 취약점 관리 등 주요 항목에서 우수한 평가를 받았다고 밝혔다. ◆ 블록체인 기반 삼성 보안 기술, ‘녹스’ 적용 삼성전자는 비스포크 AI 가전에 독자 보안 플랫폼인 삼성 녹스(Knox)를 적용해 사용자들이 다양한 AI 기능을 안심하고 사용할 수 있도록 했다고 밝혔다. 녹스는 외부에서 들어오는 악성 소프트웨어나 위협으로부터 제품을 보호해 사용자 명령을 포함한 제품 모니터링 영상 등을 암호화하고 지정된 곳에서만 암호를 해독할 수 있도록 해 사용자 정보를 안전하게 보호한다. 특히 스크린 냉장고와 2025년형 로봇청소기 제품은 '녹스 매트릭스(Knox Matrix)' 시스템을 통해 블록체인 기반의 보안 기술로 연결된 기기들이 상호 보안 상태를 점검한다. 삼성전자에 따르면 녹스 매트릭스는 외부의 공격을 차단해 보안 위협이 발생하면 사용자에게 즉시 알려 빠르게 상황을 파악하고 조치하는 데 도움을 준다. 또 민감한 개인정보를 하드웨어 보안 칩에 별도로 저장하는 '녹스 볼트(Knox Vault)'도 적용해 사용자의 개인정보를 철저히 보호할 수 있다고 밝혔다. 이번 TÜV Nord 인증을 획득한 2025년형 로봇청소기 신제품은 9월 독일 베를린에서 열리는 유럽 최대 가전 전시회 'IFA 2025'에 전시되며, 삼성전자 전시관에서 보안과 성능을 강화한 AI 로봇청소기를 만나볼 수 있다. 삼성전자 DA사업부 문종승 부사장은 "삼성전자는 비스포크 AI 가전에 강력한 보안 성능을 제공하고 있다"며 "이번 인증으로 삼성전자의 강력한 보안 기술력을 글로벌 시장에 입증한 데 이어 앞으로도 고객 데이터를 안전하게 지키기 위해 보안 강화에 더욱 힘쓸 것"이라고 전했다.
2025-08-27 17:35:05
SKT, 시내버스에 와이파이 7 시범 적용…속도 1.5배 빨라져 [이코노믹데일리] SK텔레콤이 국내 최초로 시내버스에 차세대 통신 기술인 와이파이 7을 시범 적용해 공공 와이파이 속도를 1.5배 이상 개선했다고 4일 밝혔다. 이번 시도로 시민들이 일상에서 체감하는 통신 품질이 한 단계 도약할 전망이다. 이번 시범 서비스는 과학기술정보통신부 산하 한국지능정보사회진흥원(NIA)이 주관하는 버스 공공와이파이 사업의 일환으로 추진됐다. SKT는 지난 5월부터 서울과 경기 권역을 오가는 시내, 지선, 광역버스 100대에 5G와 LTE 기반의 와이파이 7 장비(AP)를 설치해 8월 말까지 운영한다. 중간 점검 결과는 성공적이다. 와이파이 7 도입 후 버스 내 다운로드 속도는 노선별로 715~1003Mbps를 기록했다. 이는 기존 와이파이 6·6E 장비의 평균 속도인 429Mbps 대비 평균 1.5배 이상 향상된 수치다. 속도 개선은 즉각적인 사용량 증가로 이어졌다. 지난 5월 한 달간 동일 노선에서 와이파이 7 장비가 탑재된 버스의 평균 데이터 사용량은 36만5211MB로 기존 장비 버스의 27만2979MB보다 약 2030% 많았다. 와이파이 7은 2.4GHz, 5GHz, 6GHz 등 여러 주파수 대역을 동시에 활용해 간섭 없이 빠른 통신을 지원한다. 한 번에 처리하는 데이터 양을 결정하는 대역폭도 기존의 두 배인 320MHz로 늘었고 데이터를 더 촘촘하게 전송하는 QAM 기술도 4096QAM으로 향상됐다. 여러 주파수 대역을 동시 처리하는 멀티 링크 동작(MLO) 기술로 안정성까지 강화했다. 보안 기술도 대폭 업그레이드됐다. 무료 와이파이 대역에는 이용자 데이터를 암호화하는 ‘OWE’ 기술을 보안 접속 대역에는 기업용 수준의 ‘WPA2/3 Enterprise’ 기술을 적용해 공공 와이파이의 취약점으로 지적되던 보안 문제를 해결했다. SKT는 이번 시범 서비스 결과를 바탕으로 향후 공공 와이파이 서비스 고도화를 지속 추진할 방침이다. 김일영 SKT Connectivity사업본부장은 “버스공공와이파이 사업에 5G·LTE의 상용망 기반 와이파이 7을 시범 도입해 국민들이 보다 나은 와이파이 서비스를 경험할 것”이며 “앞으로도 안정적이고 향상된 통신 서비스 보급에 더욱 앞장서겠다”고 밝혔다.
2025-08-04 09:06:59
KAIST, 패킷 '한 방'에 삼성·애플폰 통신 마비시키는 '치명적 결함' 발견 [이코노믹데일리] KAIST 연구진이 단 하나의 조작된 무선 패킷만으로 스마트폰의 통신 기능을 마비시킬 수 있는 심각한 보안 취약점을 발견했다. 삼성, 애플, 구글 등 글로벌 제조사의 최신 스마트폰 대부분이 이 위험에 노출된 것으로 확인돼 이동통신 모뎀 보안에 대한 근본적인 재점검이 시급하다는 지적이 나온다. KAIST 전기및전자공학부 김용대 교수팀은 경희대 박철준 교수팀과 공동으로 자체 개발한 분석 프레임워크 'LLFuzz'를 통해 이 같은 취약점을 찾아냈다고 25일 밝혔다. 이번 연구는 그간 보안 연구가 집중됐던 통신 프로토콜의 상위계층이 아닌 제조사들이 상대적으로 소홀히 다뤄온 하위계층(RLC, MAC 등)의 오류 처리 로직을 정밀 분석해 얻은 성과다. 연구팀이 공개한 시연 영상은 충격적이다. 노트북에서 생성한 조작된 무선 패킷 하나를 스마트폰에 쏘자, 정상적으로 데이터를 주고받던 스마트폰의 통신 모뎀이 즉시 멈춰버린다. 결국 데이터 전송이 중단되고 이동통신 신호까지 완전히 사라진다. 암호화나 인증 절차가 적용되지 않는 통신 하위계층의 구조적 허점을 파고든 것이다. 문제는 이 취약점이 특정 기기에 국한되지 않는다는 점이다. 연구팀이 상용 스마트폰 15종을 대상으로 실험한 결과 총 11개의 취약점이 발견됐다. 퀄컴, 미디어텍, 삼성전자가 만든 통신 모뎀 칩에서 공통적으로 문제가 드러났다. 스냅드래곤, 엑시노스 등 프리미엄 스마트폰은 물론 저가형 기기, 스마트워치, 태블릿까지 퀄컴과 미디어텍의 칩셋 수십여 종이 영향을 받는 것으로 확인됐다. 이는 잠재적으로 수억 대의 기기가 위험에 노출될 수 있음을 의미한다. 김용대 교수는 "최고의 제조사들조차 이동통신 하위계층에 대해서는 신경을 쓰지 않음이 입증됐다"며 "이번 연구는 이동통신 분야에 비정상적인 상황을 점검하는 '보안 테스팅'의 표준화가 시급하다는 것을 보여준다"고 강조했다. 연구팀이 발견한 11개 취약점 중 7개는 공식 CVE(보안 취약점 국제 표준코드) 번호를 부여받아 제조사에 통보됐고 일부는 보안 패치가 이뤄졌다. 그러나 나머지 4개는 아직 공개되지 않은 상태이며 패치가 모든 기기에 적용된다는 보장도 없다. 이번 연구 결과는 내년 8월 사이버보안 분야 최고 권위 학회인 유즈닉스 시큐리티(USENIX Security)에서 발표될 예정이다.
2025-07-25 08:59:44

12 3 4

많이 본 뉴스

영상

Youtube 바로가기

오피니언

[기자수첩]롯데카드, 누구도 만족 못한 해명·보상...안전 수준은 여전히 불투명

[기자수첩] 롯데카드, 누구도 만족 못한 해명·보상...안전 수준은 여전히 불투명