통신사가 해킹 개인정보 유출 사고 터지는 이유는 반복되는 보안 실패 구조

최근에 터진 SKT 해킹 사건 뿐만 아니라, 불과 얼마 되지 않은 시기에도 다른 이동통신사들의 개인정보 유출 사고 등이 있었다. 이것은 단지 한 기업의 보안 사고로 끝날 문제가 아니라, 수년 간 유사한 방식으로 사고가 업계에서 반복되고 있는데도 근본적인 해결이 이루어지지 않고 있는 현실을 짚어봐야 한다. 개별 사건의 사례를 넘어서 통신사 고유의 구조적 취약성과 업계 산업 전반의 보안 시스템 부실이 있는 것이다.

스마트폰 정보 유출 이미지

대규모 개인정보 집적 구조


이동통신사는 사실상 국민 대부분의 실명 정보와 연락처, 주소, 계좌 정보, 단말기 고유 정보 등의 광범위한 민감한 데이터를 대량 보유하고 있다. 이러한 정보는 사이버 공격자들이 탐 내는 것으로, 공격의 대상으로 집중되는 것이다. 

그런데 진짜 문제는 통신 업체가 이러한 정보를 중앙 집중형 시스템에 통합 저장하고 있는 점이다. 공격자 입장에서 한 번의 침투로 수백 만 명의 정보를 탈취할 수 있는 환경이므로, 노력과 시간 인력 등을 투입해서 한 번만 뚫어내면 얻을 것이 많은 현실이 된 것이다. 


보안보다 마케팅 우선 경영 기조


국내 통신사는 오랫동안 신기술 도입으로 인한 광고 효과에는 집중해서 자본과 노력을 기울여왔다. 5G 6G 투자와 AI 도입 등으로, 사실상 그렇게 큰 기술적 효과가 없다 하더라도, 이를 통한 마케팅 효과를 노려서 돈을 투자한 것이다. 이것과 함께 요금제 마케팅과 신규 고객 유치를 위한 보조금 등에 막대한 자본을 투입했다. 

그러나 상대적으로 정보 보호 보안 쪽으로는 소홀한 경향을 보였다. CISO 최고 정보 보호 책임자의 권한과 독립성 부족, 보안 예산의 형식적 집행과 보안 인력 외주화 등으로 그러한 경향의 예가 보인다. 또한 일부 통신사는 고객 데이터를 수익화하는 데 집중하여, 데이터를 안전하게 보관 관리하는 데에는 명확한 책임 구조조차 갖추지 못한 경우도 있다. 그래서 보안은 눈에 띄지 않는 부차적인 문제로 밀려나고, 사고가 터진 후에야 돈을 조금 넣어서 대책을 마련하고 대충 넘어가는 대응만 반복되고 있는 것이다.


레거시 시스템과 보안 사각지대


통신사 시스템은 10년 이상 된 레거시 인프라 위에서 차세대 시스템을 덧붙여서 여러 계층의 기능을 구현한 구조 형태를 가지고 있다. 이러한 형태로 인해서 보안 패치가 부분적으로 이루어지거나, 혹은 일부에서는 적용이 어렵거나, 제때 이뤄지지 않는 등의 문제가 있다. 

특히 이러한 구조는 시스템 간 연동 과정에서 취약한 구간이 생겨나는 구조적 위험이 존재한다. 일부 내부망 시스템은 외부 침입을 전제로 하지 않고 만들어져 있기도 해서, 기본적인 접근 제어나 암호화조차 제대로 되지 않은 경우도 있다. 근본적으로 시스템 전체가 문제라고 봐도 과언이 아니라고 할 정도로 심각한 것이다. 


공격자의 진화에 못 따라가는 방어


최근 사이버 공격은 APT 지능형 지속 공격, 공급망 공격, 내부자 계정 탈취 등으로 과거에 비해서 많이 발전한 정교한 수법으로 진화하고 있다. 그런데 통신사 내부에서는 기존의 방화벽과 백신, 로그 모니터링 중심의 정적이고 전통적인 방어 체계에 머무르고 있다.

능동적으로 이상 행동을 탐지하고 즉시 대응하는 XDR, SOAR, AI를 활용한 위협 인텔리전스 연계 체계가 제대로 구축되지 않은 경우가 많고, 이를 적극적으로 이용하거나, 제대로 활용하지 못하는 경우도 많은 것이다.


규제의 사각지대와 형식적 책임


통신사는 중요정보통신기반시설로 지정되어 있는데, KISA와 과기정통부의 보안 실태 점검이 주기적이지 않고 실효성이 떨어진다는 지적도 많다. 사실상 관련 정부 부처에서도 보안 관련 전문가들이 중요하게 활동하지 못 하고 있고, 중요하게 생각하고 있지 않기 때문에 그런 것이라는 비판도 있다. 

이렇게 주기적이고 확실한 점검이 이루어지지 않기 때문에, 관련 부처에서도 사고가 발생하면 면피를 바라는 경우가 많아지는 것이다. 그래서 사건 발생 후에는 벌금이나 과징금이 경영에 미치는 영향이 미미할 정도로 이루어지고, 고객 피해 보상 기준도 모호하며 그리 크지 않은 실정이다. 계속해서 사과만 하면 끝나는 구조가 유지되어, 근본적인 개선 동력이 되지 않기 때문에, 오히려 사고가 터진 후에 수습하는 것이 싸게 먹힌다는 인식까지 생기는 것이다. 


근본적인 개선 방안 결론


단순히 보안 업체들이 광고하는 솔루션 도입이나 기술적 대응을 넘어서, 조직 문화 개선과 함께 규제 시스템과 책임 구조의 전환이 필요한 시점이다. CISO를 CEO 직속으로 두고, 실질적 예산과 인사 권한을 보장하는 보안 리더십 독립을 강화해야 한다.

모든 접속을 검증하고 최소 권한 원칙을 적용하는 보안 구조로 재설계하여 제로 트러스트 아키텍처로 전환이 필요하다. 이와 함께 공공기관 수준에서 보안 감시 체계를 적용하여 외부 감사를 정례화하고, 사고 발생 시 민형사상 책임을 명확히 해야 한다.

이러한 모든 것들에 우선되는 것은, 보안 유출 사고가 터지면 피해를 입은 사람들에 대한 실질적인 보상 체계를 도입해야 한다. 정보 유출 자체에 대한 보상을 의무화하고, 기업의 실책에 대한 책임을 물어서, 미리 보안 시스템을 제대로 갖추고 가동하지 않으면 회사가 망할 수도 있다는 인식이 퍼져야 하는 것이다.