보안 필수 ‘암호화’ 안 해 피해 커져
3년 전 해킹 인지하고도 안일 대응
위약금 면제도 기한 촉박 불만 고조
“모든 해킹을 100% 막을 순 없다. 사이버 공격에 뚫려도 피해를 줄이기 위해선 주요 정보 데이터를 반드시 암호화해 처리하는 게 기본 중의 기본이다. 대한민국 1등 통신사가 이런 보안의 ABC도 안 지켰다니, 황당하다.”
SK텔레콤(SKT) 해킹 사고에 대한 민관합동 조사결과를 본 한 보안 전문가의 평가다. 과학기술정보통신부에 따르면 해킹 공격자가 외부 인터넷과 연결되는 SKT의 한 서버에 침투, 악성코드를 심은 건 2021년 8월이었다. 이 서버엔 SKT의 다른 서버에 접속할 수 있는 아이디와 비밀번호 등이 평문 그대로 저장돼 있었다. 원래는 암호문으로 처리해야 하는 게 사이버 보안의 원칙이다. 결국 공격자는 서버 한 곳을 뚫었을 뿐인데 다른 서버도 해킹할 수 있는 열쇠까지 쥐게 됐다. 이렇게 몇몇 관문을 쉽게 통과한 공격자는 고객 관리망 서버에 잠입, 2,700만 명의 유심 정보를 통째로 빼낼 수 있었다. SKT의 보안망에 얼마나 구멍이 숭숭 뚫려 있었는지 보여주는 대목이다.
SKT가 해킹 공격을 처음 인지한 게 지난 4월이 아니라 3년여 전이고, 당시 이를 사실상 묵살한 점도 충격이 아닐 수 없다. SKT는 2022년 2월 특정 서버에서 비정상적인 재부팅이 발생하자 점검을 실시, 일부 서버가 악성코드에 감염된 걸 알아챘다. 이런 경우 정보통신망법은 즉시 정부에 신고토록 하고 있다. 그러나 SKT는 어떤 신고도 하지 않았다. 더구나 감염된 서버에 비정상적인 로그인 기록이 6개나 남아 있었는데도 이 중 1개만 확인하는 데 그쳤다. 대충 자체 점검만 한 뒤 아무 일도 없는 것처럼 넘어간 셈이다.
3년 전 해킹 인지하고도 안일 대응
위약금 면제도 기한 촉박 불만 고조
 |
박일근 한국일보 수석 논설위원 |
SK텔레콤(SKT) 해킹 사고에 대한 민관합동 조사결과를 본 한 보안 전문가의 평가다. 과학기술정보통신부에 따르면 해킹 공격자가 외부 인터넷과 연결되는 SKT의 한 서버에 침투, 악성코드를 심은 건 2021년 8월이었다. 이 서버엔 SKT의 다른 서버에 접속할 수 있는 아이디와 비밀번호 등이 평문 그대로 저장돼 있었다. 원래는 암호문으로 처리해야 하는 게 사이버 보안의 원칙이다. 결국 공격자는 서버 한 곳을 뚫었을 뿐인데 다른 서버도 해킹할 수 있는 열쇠까지 쥐게 됐다. 이렇게 몇몇 관문을 쉽게 통과한 공격자는 고객 관리망 서버에 잠입, 2,700만 명의 유심 정보를 통째로 빼낼 수 있었다. SKT의 보안망에 얼마나 구멍이 숭숭 뚫려 있었는지 보여주는 대목이다.
SKT가 해킹 공격을 처음 인지한 게 지난 4월이 아니라 3년여 전이고, 당시 이를 사실상 묵살한 점도 충격이 아닐 수 없다. SKT는 2022년 2월 특정 서버에서 비정상적인 재부팅이 발생하자 점검을 실시, 일부 서버가 악성코드에 감염된 걸 알아챘다. 이런 경우 정보통신망법은 즉시 정부에 신고토록 하고 있다. 그러나 SKT는 어떤 신고도 하지 않았다. 더구나 감염된 서버에 비정상적인 로그인 기록이 6개나 남아 있었는데도 이 중 1개만 확인하는 데 그쳤다. 대충 자체 점검만 한 뒤 아무 일도 없는 것처럼 넘어간 셈이다.
1등 통신사인 만큼 보안도 1등일 것으로 믿었던 고객 입장에선 실망을 넘어 배신감이 클 수밖에 없다. 고객들이 계약을 해지하겠다고 해도 SKT는 할 말이 없다. 이 경우 SKT에 귀책 사유가 있는 만큼 위약금은 없는 게 상식이다. 정부가 법률 자문을 받은 결과도 그렇다. 그럼에도 SKT는 위약금 면제는 불가하다고 버티다 결국 민관합동조사 결과가 나온 뒤에야 마지못해 이를 수용하는 모양을 취했다. 그런데 4일 SKT의 발표를 본 고객들은 또 한번 어이가 없었다. 해킹 사고 이후부터 오는 14일까지 해지 신청한 경우에만 위약금을 면제하겠다고 한 것. 그동안 위약금 여부를 확신할 수 없어 해지를 미뤄온 고객들은 열흘 안엔 해지해야 한다. SKT의 발표가 금요일 오후 이뤄진 걸 감안하면 실제로 주어진 시간은 더 촉박하다. 업계에선 삼성전자의 갤럭시 신제품 사전예약이 15일 시작된다는 걸 감안한 것 아니냔 얘기도 나온다. 기존 고객들을 어떻게든 잡아두기 위해 안간힘을 썼다는 지적이 나오는 이유다.
이러한 SKT의 대응은 시장 지배적 지위 남용이란 비판도 받는다. 외국에서 이런 일이 일어났어도 과연 이랬을까 싶다. 당장 시민단체와 인터넷 커뮤니티에선 해지 위약금 면제 신청 기간을 적어도 한 달 이상 늘릴 것을 요구하고 나섰다. 실수는 누구나 할 수 있다. 솔직하게 잘못을 인정한 뒤 진심으로 사과하면 된다. 최고경영진이 고개를 숙인 것도 그런 뜻일 것이다. 그러나 생색내기용 고객 보상안에선 그런 진정성을 찾아볼 수 없다. 심지어 SKT는 정부의 자료 보전 명령도 어기고 일부 서버는 디지털 증거수집(포렌식)이 불가능한 상태로 조치한 뒤 제출했다. 정부도 두렵지 않은 듯하다.
많은 군사 전문가들이 앞으로 전쟁은 통신을 마비시키는 것으로 시작된다고 예고한다. 적국 입장에선 통신망부터 공격해 대혼란을 야기해야 승기를 잡을 수 있다. 보안의 기본도 안 지키고 신뢰의 기본도 무시하는 SKT가 과연 이를 막아낼 수 있을지 고개를 갸우뚱거리게 된다.
박일근 수석논설위원 ikpark@hankookilbo.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.