역사상 유례없는 참사에 세계적 망신살…‘2025 최악 해킹’ 선정된 통신사

CMA 얼라이언스 보고서
구조적 보안 실패로 규정

[연합뉴스]

지난해 발생한 SK텔레콤 유심 해킹·정보 유출 사태가 2025년 글로벌 보안시장을 뒤흔든 사이버 공격 가운데 하나로 불명예 기록됐다. 통신업 역사상 유례를 찾기 힘든 보안 참사라는 비판을 받았다. 정보기술(IT) 강국의 위상이 곤두박질치는 모습이다.

8일 보안업계에 따르면 글로벌 보안·교육전문기업 ‘사이버 매니지먼트 얼라이언스(Cyber Management Alliance·CMA)’는 보고서를 발간해, SK텔레콤 사이버 침해 사태를 지난해 발발한 7대 주요 사이버 공격 중 6위로 선정했다.

CMA는 SK텔레콤 사이버 침헤 사태를 단순한 개인정보 유출이 아닌 구조적 보안 실패로 규정했다. 이동통신 서비스 근간인 홈가입자서버(HSS)에 접근을 허용하고, 국민 절반에 달하는 약 2696만명의 가입자식별정보(IMSI)와 가입자인증모듈(USIM) 인증키를 비롯한 25종의 개인정보를 신원미상의 해커에게 빼앗겼기 때문이다.

CMA는 해커가 스미싱·보이스피싱 유발은 물론 기기 복제와 감시 권한까지 얻었을 가능성을 강조했다. HSS는 이동통신 서비스 가입자의 인증 정보와 서비스 프로필을 관리하는 핵심 데이터베이스다. 이 시스템을 탈취하면 가입자의 권한을 위협할 수 있다.

[챗GPT]

실제로 과학기술정보통신부 조사 결과 SK텔레콤의 보안망은 허술했다. 해커는 3년 동안 시스템을 장악하고 악성코드 33종을 심어 9.82GB의 데이터를 빼갔지만, SK텔레콤은 이 사실을 인지하지 못했다. 또 암호화가 기본인 인증키를 평문으로 저장했고, 지난 2016년 이미 보안 패치가 공개된 더티카우를 장기간 방치했다. 더티카우란 리눅스 운영체제(OS)의 심장부에서 발견된 취약점을 가리키는 단어다.

개인정보보호위원회는 SK텔레콤에게 정보통신기술(ICT) 분야 기준 역대 최대 규모인 1348억원의 과징금을 부과했다. SK텔레콤은 위약금 면제 조치와 요금 할인, 멤버십 혜택 강화 등 보상안을 내놨다.

한편 CMA는 160억개 이상의 사용자 로그인 정보가 유출돼 계정 뷔페로 불렸던 메가 리크 사태와 재규어 랜드로버 생산 차질 및 기술 유출 우려 사태, 병원비 정산과 처방전 발행이 중단된 체인지 헬스케어 결제 시스템 마비 사태 등을 보안 실패 사례로 꼽았다.

[뉴스1]

SK텔레콤 뿐만 아니라 KT도 보안업계로부터 부정적인 평가를 받았다. 지난달 KT 무단 소액결제 사태에 대한 최종 조사 결과 발표가 나온 가운데, 글로벌 통신기술분석기업 ‘마켓클래리티(Market Clarity)’의 최고경영자(CEO)인 샤라 에반스는 링크드인을 통해 “KT 해킹은 지금껏 접한 것 중 보안 영역의 무능과 태만이 가장 심각하게 드러난 최악의 사례 중 하나”라고 꼬집었다.

에반스 CEO는 포브스가 지난 2020년 선정한 세계 50대 여성 미래학자 중 한 명이다. 에반스 CEO는 “기본적인 IT 정보 보안 원칙이 조직적으로 무시되고, 그 과정에서 해킹 사실이 오랫동안 발견되지 않았다”며 “현재까지 확인된 (KT의) 정보 유출 규모가 조사 결과 발표에서 밝힌 수준에 불과하다는 점이 놀라울 정도”라고 부연했다.

신종 해킹 기법들을 공개하는 ‘언더코드 테스팅(Undercode Testing)’에서는 ‘거실의 조용한 위협, 손상된 펨토셀이 사기 도구로 어떻게 무기화됐나’라는 제목으로 KT의 초소형 기지국(펨토셀)의 보안 취약과 범죄 악용 여부 등에 대해 분석했다.