한 곳만 뚫어도 수천만 명 정보가 손 안에…해커 맛집된 이통3사

머니투데이

홍효진 기자

서울 용산구 LG유플러스 본사 모습. /사진=뉴스1

국내 3대 이동통신사 LG유플러스 (9,780원 ▲30 +0.31%)의 고객정보가 대량 유출되면서, 이통사 보안망 전반에 대한 우려가 깊어지고 있다. 정보통신 업계에선 대량의 개인정보를 소수 기업이 나눠갖는 구조상 쉽게 해커들의 먹잇감이 될 수밖에 없다는 지적이 나온다.

'이통사 보안망'이 위험하다

/사진=LG유플러스 홈페이지

LG유플러스가 고객 정보 유출 사실을 인지한 건 지난 2일이다. 이튿날 경찰 사이버수사대와 한국인터넷진흥원(KISA)에 수사를 의뢰한 LG유플러스는 피해를 입은 고객 수를 18만명으로 추산하고 있다. 유출 정보에는 성명·생년월일·연락처 등이 포함됐다. LG유플러스 관계자는 "이번 사안 관련 (고객정보) 유출 경로 등을 특정하지 않고 조사와 수사에 응하고 있다"며 "유출 경로 등이 파악되고 나면 관련 시스템을 강화하는 보안책 등 관련 조치를 할 계획"이라고 말했다.

이통사의 고객정보 유출은 반복되고 있다. 2012년 7월에는 KT 영업시스템이 해킹돼 성명·주민등록번호·연락처 등을 포함한 휴대전화 가입자 870만명의 개인정보가 유출됐다. 당시 KT는 5개월간 정보 유출 사실을 인지하지 못했던 것으로 알려졌다. 2014년엔 KT 홈페이지가 해킹당해 1200만명의 개인정보가 무더기 유출됐다. SK텔레콤 역시 2016년 7월 '내 전화기 위치 찾기' 서비스 관련 SK텔레콤 고객 위치정보 160여건이 해킹돼, 당시 방송통신위원회로부터 과징금 3000만원을 부과받았다.

정보통신업계에선 국내 이동통신 3사가 전국민 데이터를 나눠갖는 구조인 만큼 쉽게 해커들의 공격 대상이 된다는 의견이 나온다. 한 정보통신업계 관계자는 "이통3사가 사실상 전국민인 고객들을 나눠갖는 구조이다보니 해커들에겐 매력적인 목표일 수 밖에 없다"고 말했다.

보안업계 "대리점 직원도 보는 고객정보…보안인식 미흡"

이번 정보 유출 사태를 두고 보안업계에선 "이통사의 조직, 사업 구조가 취약한데다 미흡한 보안 인식과 투자가 겹친 것"이라고 입을 모은다. 이통사는 온·오프라인 대리점 등 수많은 정보 수집 채널을 보유하고 있어 보안 취약점이 곳곳에 노출되어 있다. 대리점 외에 협력사형태인 판매점이 수없이 많고 직원들의 이직도 잦다. 수집하는 정보와 채널도 다양하다. 따라서 세밀한 보안교육은 물론, 유무형의 보안시스템이 치밀하게 마련되어야하고 그만큼 투자에도 적극나서야하지만 이에 상대적으로 소홀하다는 것이다. 실제 대리점이나 판매점 직원들이 관리허점을 틈타 시스템의 권한을 탈취하거나 고객정보를 빼돌리는 것은 물론 외부범죄자와 공모하는 사례가 적지않다. 이통사가 관리하는 고객정보에 금융 관련 고급 정보도 대량 포함되는 만큼, 내부 인식 제고가 선행돼야 한다는 의견이다.

국내 한 보안업계 관계자는 "기본적으로 정보의 양이나 질에비해 이통사의 보안 인식이 미흡하단 점을 배제할 수 없다"며 "문제가 개선되려면 인식 변화는 물론, 개인정보 기술적 보호조치 기준에 의거한 관리 매커니즘이 제대로 수립돼야 한다"고 꼬집었다.

익명을 요구한 또 다른 보안업계 전문가는 "이통사 특성상 개인정보를 다루는 주체가 본사뿐 아니라 턴오버(이직률)가 심한 수 많은 전국 대리점 직원들도 포함된다"며 "개인정보 관리 교육이 충분히 이뤄지기 어려운 환경이기 때문에 본사 차원의 내부 정책 강화 및 대리점 직원을 포괄적으로 관리하는 체계가 필요하다"고 짚었다.

그러면서 "개인정보 관리에 특화된 민감정보 식별·분류 솔루션도 필요해 보인다"며 "PC·서버·스토리지 등 다양한 저장소의 문서를 실시간 파악하고, 내용 및 컨텍스트 기반으로 분류할 수 있다. 민감정보를 식별해 해당 문서를 암호화하고 격리·삭제 또는 일정 기간 후 권한 회수 및 파기가 가능하다"고 덧붙였다.

ICTK홀딩스의 강봉호 최고기술책임자(CTO)는 "데이터 관리자는 해커 침입에 대비해 항상 보안을 업그레이드하는 한편, 해킹 파급력을 최소화하도록 제로 트러스트(어떤 사용자·소프트웨어도 신뢰할 수 없다고 가정) 적용이 필요하다"며 "데이터 암호화의 핵심인 '키'를 국제 표준 규격인 물리적 복제 방지(PUF)기술로 안전하게 보관하는 것도 방안"이라고 전했다.