[M-커버스토리] 통신3사 이어 금융권까지…누더기 보안 체계의 민낯

올해 4월 SK텔레콤의 개인정보 유출을 시작으로 8월과 9월 KT, LG유플러스까지 주요 통신사에서 연이어 터진 대규모 해킹 사고는 대한민국의 사이버 보안 체계가 얼마나 허술한지를 여실히 드러냈다. 반복되는 보안 참사에 국민적 불안감이 극에 달하자, 결국 국회와 정부가 통신사들의 고질적인 보안 불감증과 정부의 대응 시스템을 전면 수술하기 위해 칼을 빼 들었다. 이번 사태는 단순한 개별 기업의 문제를 넘어, 기업의 책임 회피와 분절된 정부 대응, 실효성 없는 인증 제도 등 구조적 문제점이 복합적으로 작용한 결과라는 분석이 지배적이다. 21일 <메트로경제 신문> 취재에 따르면 통신 3사를 강타한 연쇄 해킹 사태는 표면적 양상은 달랐지만, 결국 코어망·인증 경계의 취약성, 외주 관리 허점, 탐지·통보 지연, 분절된 감독 체계 등이 맞물리며 피해를 키운 것으로 드러났다. 4월 SK텔레콤은 홈서브스크라이버서버(HSS) 등 코어 시스템이 뚫리며 USIM 인증키, IMSI·IMEI, 연락처 등 대규모 가입자 정보가 유출됐다. 2300만명 전원 대상 USIM 무상 교체와 당국 제재가 뒤따랐고, 주가 급락이 충격을 반영했다. 개인정보보호위원회는 노후 시스템과 패치 지연, 취약한 계정관리 책임을 지적했으며, SKT는 제로트러스트·암호화 강화·CISO 권한 상향 등을 내놨지만 코어 자산의 무결성을 운영으로 입증해야 한다는 경고가 남았다. KT에선 불법 초소형 기지국(펨토셀) 악용으로 인증 신호가 가로채여 소액결제가 무더기로 발생했다. 피해는 서울·경기·인천 전역으로 확산됐고, IMSI·IMEI·전화번호 등 유출 정황과 불법 기지국 4개, 노출자 약 2만명으로 파장이 커졌다. 집계도 뒤늦게 수정됐으며, 9월에도 무단 결제가 이어져 이상거래탐지와 통합인증 모니터링의 허점, 정보 공개 지연에 대한 비판이 쏟아졌다. LG유플러스는 침해 사실을 부인했으나 협력사 시큐어키의 자진신고와 해외 보안 매체 보도로 서버 수천 대와 계정 수만 건 유출 정황이 드러났다. 외주 영역의 허술한 계정·권한 관리가 공급망 공격으로 번질 수 있다는 우려와 함께, 자진 통보 지연은 '셀프신고' 의존 체계의 허점을 부각했다. 금융권에선 롯데카드가 결제 서버 해킹으로 당초 발표의 100배에 달하는 297만명·200GB 유출 피해를 확인했다. 단순 인적사항을 넘어 결제 식별정보까지 포함돼 금융당국은 전면 보상과 강력 제재를 예고했으며, 통신망 해킹이 결제 인프라로 직결되는 '네트워크-결제' 결합 리스크가 현실화됐다. 국내 전반에서도 사이버 침해사고는 빠른 속도로 늘고 있다. 황정아 더불어민주당 의원이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, 2020년부터 올해 9월까지 기업이 신고한 사이버 침해 건수는 총 7198건에 달했다. 특히 시스템 해킹은 2020년 전체 사고의 41.4%에 불과했지만 2024년 들어 72.8%까지 치솟으며, 지난해보다 두 배 가까이 증가했다. 대기업은 건수는 적지만 피해 파급력이 크고, 중소기업은 전체의 80% 이상을 차지해 취약성이 드러났다. 전문가들은 이번 통신·금융권 사태가 예외적 사건이 아니라, 국내 전반의 보안 취약 현실을 집약적으로 드러낸 것이라고 지적한다. 정부와 국회는 합동 브리핑과 청문회 채비에 들어갔다. 과기정통부와 금융위는 "정황만으로도 직권조사에 착수할 수 있는 제도" 전환을 예고했고, 국회는 침해사고 조사심의위원회 신설을 골자로 정보통신망법 개정을 추진 중이다. 핵심은 기업의 자진신고에 기대는 1차 대응을 '정부의 선제 조사 권한'으로 치환하고, 부처 칸막이를 낮춰 통신·결제·플랫폼을 아우르는 통합 컨트롤타워를 상설화하는 것이다. 업계 관계자들은 연쇄 해킹 재발 방지를 위해선 통신 코어·인증 보안 강화, 공급망·외주 관리 재설계, 신속한 탐지·통보와 피해자 자동 구제, 그리고 상설 컨트롤타워 구축이 필수라고 설명한다. 김승주 고려대 정보보호대학원 교수는 이번 사태가 한국 보안 체계의 구조적 문제를 드러냈다고 지적한다. 그는 '보안 극장 효과'를 언급하며, 망분리처럼 보여주기식 제도에만 의존하고 언론은 추측성 보도에만 매몰돼 국민이 사태의 본질을 놓치게 만들었다고 비판했다. 또 민간 기업의 해킹 사고는 대대적으로 다루면서 정부 기관 해킹은 외면하는 '이중 잣대'와, ISMS-P 인증을 받은 기관이 해킹당해도 인증을 내준 정부는 아무런 책임을 지지 않는 현실을 꼬집었다. 근본적인 원인 규명과 책임 있는 대책 대신, 단기적 미봉책만 반복되는 악순환이 계속되고 있다는 것이다. 이 같은 구조적 허점을 해소하기 위해선 보여주기식 제도를 넘어 실제 운영에서 작동하는 근본적 보완책이 마련돼야 한다. 재발 방지를 위해선 먼저 통신 코어와 인증 체계를 근본적으로 강화해야 한다. HSS·UDM 같은 핵심 자산은 폐쇄망·다중키 분산보관·HSM 기반 운영·실시간 무결성 검증을 기본값으로 하고, 관리계정은 원격 비서명 접속을 차단해야 한다. 위장 기지국에 맞서 기지국-단말 상호 인증, 의심 셀 신호 차단, 인증 시나리오 이상 탐지 등 무선 보안 기능을 상용망에 적용하고, 통신사 FDS를 결제사와 연동해 교차 검증 체계를 구축하는 것도 필수다. 둘째로 공급망과 외주 관리 구조를 전면 재설계해야 한다. 협력사 계정에는 제로트러스트와 최소권한 원칙을 강제하고, 고객망과 관리망을 분리하며 세션 레코딩과 외주 보안 인증 갱신을 의무화해야 한다. 동시에 이상 징후를 실시간 지도 형태로 공유해 통신·금융 공동 룰북에 따라 자동으로 한도를 제한·경보를 발령하는 체계가 필요하다. 지연된 통보는 피해를 배가시키는 만큼, 탐지와 보고 속도를 줄이는 것이 핵심이다. 마지막으로 제도와 구제 장치가 뒷받침돼야 한다. ISMS-P 같은 인증은 사고 발생 시 즉시 효력 정지·재심사를 거치고, 보안 투자 공시는 의무화해야 한다. 피해자는 표준 API를 통한 원클릭 이의제기, 한도 축소, USIM·가상번호 교체까지 자동화된 절차로 보호받아야 하며, 집단사고 시 요금 감면·위약금 면제 같은 패키지 보상이 법정 기본값이 돼야 한다. 나아가 미국 CISA, EU ENISA처럼 상설 컨트롤타워를 두고 정보공유·합동훈련·사이버 경보를 총괄해야 산업 간 경계 없는 공격에 선제 대응할 수 있다.