SKT 유심 유출 · KT 결제 해킹 · LGU+ 해킹 의혹...통신 인프라 신뢰, 근간부터 흔들린다

연결된 사회의 배신, K-통신의 '신뢰'는 어떻게 무너졌나

보이지 않는 공격, '가짜 기지국'이 던진 경고

통신망 신뢰, 근간부터 다시 세워야

6G·자율주행의 꿈까지 삼킬 것인가

지난 10일 경기남부경찰청 사이버수사대에 따르면 지난달 27일부터 이달 9일 오후 6시까지 KT 소액결제 피해 사례는 모두 124건이며 전체 피해액은 8천60여만원으로 파악됐다
해커가 초소형 기지국을 통해 이용자들의 정상 트래픽을 가로채 소액결제 피해를 일으켰다는 추정이 유력한 상황으로 불법 기지국을 차량 등에 싣고 이동하면서 범행했을 가능성도 있어 피해 범위와 정도는 더 커질 수 있다 사진은 10일 서울 한 KT 대리점 모습사진연합뉴스 — 지난 10일 경기남부경찰청 사이버수사대에 따르면 지난달 27일부터 이달 9일 오후 6시까지 KT 소액결제 피해 사례는 모두 124건이며, 전체 피해액은 8천60여만원으로 파악됐다. 해커가 초소형 기지국을 통해 이용자들의 정상 트래픽을 가로채 소액결제 피해를 일으켰다는 추정이 유력한 상황으로, 불법 기지국을 차량 등에 싣고 이동하면서 범행했을 가능성도 있어 피해 범위와 정도는 더 커질 수 있다. 사진은 서울 한 KT 대리점 모습.[사진=연합뉴스]

[이코노믹데일리] 대한민국은 자타가 공인하는 '통신 강국'이다. 세계 최초 5G 상용화, 초고속 인터넷 보급률 1위라는 타이틀은 K-통신의 자부심이었다. 그러나 최근 잇따라 터져 나온 보안 사고들은 우리가 쌓아 올린 혁신의 탑이 얼마나 모래 위에 세워진 것인지를 적나라하게 보여주고 있다.

SK텔레콤의 유심(USIM) 정보 유출 의혹부터 KT의 가짜 기지국 소액결제 해킹 그리고 LG유플러스의 핵심 협력사 보안 붕괴까지. 국가 기간 통신망의 신뢰가 뿌리부터 흔들리는 지금, 본지는 K-통신의 보안 불감증이 초래한 총체적 위기를 심층 진단하고 대안을 모색한다.

◆ '유령' 기지국에 뚫린 망 신뢰…디지털 쌍둥이가 당신의 지갑을 노린다

최근 KT 고객들을 공포에 몰아넣은 '유령 소액결제' 사태는 통신망 보안의 가장 기초적인 단계가 무너졌음을 시사한다. 해커 조직은 인구 밀집 지역에 'IMSI 캐처'라 불리는 불법 초소형 기지국(펨토셀)을 설치해 주변 스마트폰의 접속을 강제로 유도했다.

이 과정에서 가입자 고유 식별번호(IMSI)가 탈취됐고 해커들은 이를 이용해 피해자와 똑같은 '디지털 쌍둥이 폰'을 생성했다. 결과적으로 범죄자들은 피해자의 휴대폰 번호로 전송되는 ARS 인증 시스템을 가로채 소액결제를 감행했다.

소액결제 피해 관련 고개 숙여 사과하는 김영섭 KT 사장. [사진=공동취재단]

이에 대해 임종인 고려대 정보보호대학원 석좌교수는 이미 수년 전부터 이동통신 표준 프로토콜의 취약성을 강력히 경고해온 바 있다. 임 교수는 보안 포럼 등에서 “5G 시대라 해도 단말기가 신호가 가장 강한 기지국을 우선적으로 선택하는 프로토콜의 본질적 특성을 악용하면 가짜 기지국의 함정에 빠질 수 있다”며 “기지국이 단말기를 인증하는 절차만큼이나 단말기가 기지국을 신뢰할 수 있는지 확인하는 '상호 인증' 체계가 현장의 소형 장비 단계까지 촘촘하게 적용되지 않으면 기간망의 신뢰는 언제든 무너질 수 있다”고 설파했다. 하지만 통신 현장의 보안 관리는 여전히 이러한 경고를 따라가지 못했다.

KT가 망의 입구에서 뚫렸다면 LG유플러스는 망의 내부로 향하는 '공급망'에서 위기를 맞았다. 최근 네트워크 핵심 장비를 납품하는 중견 협력사 '시큐어키'가 해킹 공격을 받으면서 통신망 전체를 마비시킬 수 있는 '공급망 공격(Supply Chain Attack)'의 위험이 현실화됐다.

공급망 공격은 보안이 강력한 본사를 직접 공격하는 대신 상대적으로 보안이 취약한 협력사의 소프트웨어 업데이트 서버나 관리 계정을 탈취해 침투하는 고도의 해킹 수법이다. 이는 2023년 초 29만명의 개인정보 유출로 홍역을 치렀던 LG유플러스가 보안 강화를 약속했음에도 불구하고 여전히 협력사 단계의 보안 관리가 '방치된 사각지대'였음을 의미한다.

곽경주 S2W 이사는 과거 보안 사고가 발생할 때마다 공급망 보안의 패러다임 변화를 역설해왔다. 곽 이사는 “현대 보안은 본사 서버만 철통같이 막는다고 해결되지 않으며 해커들은 가장 약한 고리인 장비 공급업체나 외주 업체를 우회 통로로 삼는다”며 “납품업체에 대한 보안 점검이 실무적인 전수 조사 대신 형식적인 서류 점검에 그칠 경우 한 번의 계정 탈취만으로도 국가 기간망 전체가 도미노처럼 무너질 수 있다”고 지적한 바 있다. 이번 사태는 곽 이사가 예견했던 시나리오가 그대로 적중한 셈이다.

이처럼 예고된 위기 앞에서도 통신사들이 소극적이었던 이유는 무엇일까. 업계 전문가들은 '보안 불감증'의 이면에 왜곡된 경제 논리가 숨어있다고 비판한다.

2023년 LG유플러스 사태 당시 개인정보보호위원회가 부과한 68억원의 과징금은 당시 '역대 최대 규모'라는 수식어가 붙었지만 이는 통신사 연 매출의 0.05% 수준에 불과했다. 보안에 수백억 원을 선제적으로 투자하기보다 사고가 터진 뒤 사과문을 발표하고 수십억 원의 과징금을 내는 것이 경영적 측면에서 '이득'이라는 인식이 업계 전반에 퍼져 있다는 것이다.

김승주 고려대 정보보호대학원 교수는 최근 유튜브 방송 <언더스탠딩>에 출연해 “SKT 사건은 망분리 신화를 무너뜨린 사례이고 KT 사건은 불확실성만 키운 사건”이라며 “정작 더 큰 문제는 행정안전부·외교부 등 정부기관 해킹이 외면되고 있다는 점”이라고 지적하며 통신사를 넘어 국가 전반의 보안 체계 점검이 시급함을 역설했다.

◆ 제로 트러스트(Zero Trust), 신뢰가 사라진 시대의 새로운 생존 전략

정부는 대안으로 '제로 트러스트 가이드라인'을 제시하고 있다. 제로 트러스트란 ‘아무도 믿지 말고 항상 검증하라(Never Trust, Always Verify)’는 원칙에 기반한 보안 모델이다. 한 번 인증을 거쳤다고 해서 내부망 접속자를 무조건 믿는 것이 아니라 모든 단계에서 끊임없이 신원을 확인하는 체계다.

하지만 현장의 적용 속도는 거북이걸음이다. 기간통신망 사업자들이 막대한 인프라 교체 비용과 운영의 번거로움을 이유로 도입을 미루는 사이 해커들의 공격 기술은 날로 진화하고 있다. 자율주행차, 원격의료, 스마트시티 등 우리가 그리는 미래 산업의 대전제는 '완벽한 통신 보안'이다. 지금처럼 통신망이 해커의 놀이터가 된다면 미래 성장은 사상누각(沙上樓閣)에 불과하다.

이제는 보안의 패러다임을 완전히 바꿔야 한다. 권헌영 한국정보보호학회장은 일찍이 보안의 관점을 단순한 방어에서 '회복력(Resilience)'으로 전환해야 한다고 주장해왔다. 권 회장은 과거 강연에서 “보안은 사고를 100% 막는 것이 아니라 사고가 발생하더라도 필수 서비스가 중단되지 않고 즉각 복구되는 회복력을 갖추는 것”이라며 “통신사들이 보안 투자를 아껴 발생한 사고에 대해서는 매출액 대비 징벌적 수준의 과징금을 부과해 보안이 곧 기업의 생존과 직결된다는 사실을 뼈저리게 인식시켜야 한다”고 강조했다.

K-통신은 지금 갈림길에 서 있다. '세계 최초'라는 허울 좋은 간판 뒤에 숨어 과거의 경고를 계속 무시할 것인지 아니면 뼈를 깎는 성찰을 통해 신뢰라는 굳건한 토대 위에 디지털 영토를 재건할 것인지 선택해야 한다. 기간통신망 사업자에 대한 보안 책임을 경영진에게 엄격히 묻고 보안을 비용이 아닌 '국가적 안보 자산'으로 인식하는 인식의 대전환이 그 어느 때보다 절실한 시점이다.