“글로벌 해킹조직 SKT 데이터 유출 주장”…SK텔레콤, 사실무근 밝혀 업계 긴장

글로벌 해킹조직의 이름을 내건 ‘스캐터드 랩서스’가 SK텔레콤의 2,700만 고객 데이터를 확보했다고 주장하면서 국내 IT·통신 업계에 긴장이 고조되고 있다. 스캐터드 랩서스는 텔레그램 채널에서 16일 새벽 SK텔레콤 데이터 해킹 사실을 알리고, 샘플 데이터 100기가바이트(GB)를 1만달러에 판매하겠다고 공개적으로 밝혔다. 그룹은 SK텔레콤이 금전적 협상에 나서지 않을 경우 ‘관리자 접근 권한 전체와 임직원을 포함한 대규모 고객 정보를 모두 공개하겠다’고 덧붙였다. 업계에서도 전례가 적지 않은 직접 협박과 데이터 공개 예고 방식에 주목하고 있다.

이에 대해 SK텔레콤 측은 해커의 주장에 강하게 반박했다. 회사는 텔레그램에 게재된 샘플 데이터, 웹사이트 캡처, FTP 파일 목록 등을 조사한 결과 “우리 시스템에는 존재하지 않는 사이트, 데이터라는 점이 확인됐다”고 설명했다. 해킹 조직의 메시지가 실제 IT 인프라와 일치하지 않으며, 현 시점에서 고객 데이터 유출 사실 또한 확정할 근거가 없다고 밝혔다. SK텔레콤은 정보보호 부서뿐 아니라 과학기술정보통신부 등 정부 관계기관과 연계해 사이버보안 대응체계를 즉각 가동했다.

스캐터드 랩서스는 ‘랩서스(LAPSUS＄)’ 해커그룹에서 파생된 조직으로, 한때 국내 대기업과 마이크로소프트, 엔비디아 등 글로벌 IT기업도 주요 표적이었다. 랩서스가 금전적 목적에 집중했다면, 스캐터드 랩서스는 해킹 기술 과시와 메시지 전달에 방점을 두고 움직이는 집단으로 알려졌다. 실제로 과거 미·유럽 주요 통신사의 고객 데이터를 대량 탈취해 파장을 낸 바 있다. 최근에는 국내외 시중 통신사, 공공기관을 상대로 데이터 샘플 판매 등 전방위적 침투 시도가 이어지고 있다.

해외에서는 이미 ICT 거대기업의 해킹 사례가 빈번히 확인되고 있다. 미국, 영국 등에서는 거액의 랜섬웨어 피해 이후 기업 네트워크 방어체계와 법적 책임에 대한 논의가 본격화됐다. 유럽의 GDPR, 미국의 데이터 보안법처럼 개인정보 대량유출에 대한 벌금과 사고 발생시 통지의무 규정도 강화되는 추세다.

 정부 차원에서도 정보통신망법, 개인정보보호법 등 현행법 내 해킹 대응책이 마련돼 있으나, 해커조직의 진단을 넘어선 고도화된 공격 패턴에는 한계가 있다는 지적이 나온다. 과기정통부는 사안의 위중성을 고려해 사실관계 파악과 추가 해킹 정황 분석에 나섰다.

전문가들은 “이번 해킹 주장이 실체가 없을 가능성도 있지만, 조직화된 사이버공격이 연달아 시도되는 만큼 통신·IT인프라 전반에 걸친 방어능력 고도화가 요구된다”고 진단했다. 산업계는 추가 보안사고 예방, 사고 발생시 투명한 공개, 신속한 상호정보 공유 프로세스 구축에 주목하고 있다. 기술 및 제도, 정보공유체계 개선이 향후 IP기반 서비스와 개인정보 보호의 핵심 관건이 될 전망이다.