“KT·LG유플러스, 해킹에도 자진신고 안 해”…서버 보안 취약성 논란

국내 주요 통신사인 KT와 LG유플러스가 해킹 피해를 받았음에도 관련 사실을 자진 신고하지 않은 것으로 드러나며 사회적 파장이 커지고 있다. 1일 MBC 단독 보도와 정부 입장에 따르면, 지난달 7일 미국 해킹 전문지에서 공개된 일명 '김수키' 해킹 조직 데이터 안에는 유플러스 내부 서버와 직원 167명의 실명·계정, 4만개에 달하는 계정 정보 등이 확인됐다. 또 다른 폴더에는 KT 웹서버의 보안인증서와 개인키가 포함돼 있었다.

과학기술정보통신부는 지난달 화이트 해커의 제보를 받고 관련 사실을 조사했으나, KT와 LG유플러스가 자진 신고를 하지 않아 현장 서버 정밀 조사를 진행하지 못한 것으로 알려졌다. 과기정통부 관계자는 “해킹 시점과 경로를 정확히 파악하려면 현장 조사가 필수”라면서 통신사들의 미진한 대응을 지적했다.

앞서 SK텔레콤 역시 지난 4월 해킹 피해로 고객 유심(USIM) 등 민감 정보가 유출된 바 있다. 조사 결과, SKT는 2021년 8월부터 악성 코드 침투 사실을 인지하고도 1년 가까이 별다른 대응을 하지 않아 피해가 확대된 것으로 밝혀졌다. 과기정통부는 SKT에 보안 관리상의 과실을 인정하고, 고객의 계약 해지 시 위약금 면제, 재발 방지 이행계획 제출을 요청한 바 있다.

SK텔레콤은 피해를 입은 대리점에 현금 보상을 진행했으며, 50일간의 영업 중단 끝에 지난 6월 24일부터 신규 가입 영업을 재개했다. 그러나 KT, LG유플러스까지 유사한 해킹 피해와 신고 지연 사실이 드러나면서, 국내 통신 3사의 전체적 보안 및 대응 체계에 대한 재점검이 필요하다는 지적이 일고 있다.

전문가들은 “정보통신 인프라는 사회의 기반인 만큼, 유출 사고 시 투명한 공개와 신속한 대응이 중요하다”고 강조했다. 한편, 과기정통부는 통신 3사의 전반적 정보보호 대책과 실효성 있는 재발방지 방안 제출을 재차 요구할 방침이다.  

이번 사태는 국내 주요 기간통신사업자에 대한 신뢰도와 정보보호 의식 제고 필요성을 부각시키며, 통신사와 정부 모두의 책임이 다시 한번 거론되고 있다.