시사위크=조윤찬 기자  SKT에 이어 KT는 무단 소액결제 사태, LG유플러스 서버 관리 기업 시큐어키 침해사고가 발생하며 국내 통신 가입자들에게 실망감을 주고 있다. SKT 유심 해킹에 불안을 느낀 사람들은 KT와 LG유플러스로 대거 이탈했지만 이들 통신사도 해킹 이슈를 겪었다.

4월 SKT 유심 정보 해킹 사태 이후 5월 KT는 19만6,685명의 SKT 가입자를 확보했다. SKT 위약금 면제 발표가 있던 7월은 LG유플러스가 SKT 가입자 14만2,125명을 확보했다.

KT에 따르면 10일 기준 278건, 1억7,000만원의 무단 휴대폰 소액결제 피해가 발생했다. 해커의 불법 초소형 기지국 신호를 받은 1만9,000명 가운데 5,561명의 개인정보인 IMSI(국제 이동 가입자 식별정보)가 유출됐다. 통신3사 가운데 정보보호에 가장 많이 투자하는 KT를 믿고 있던 가입자들은 금전적 피해를 입었다.

LG유플러스도 우려의 시선을 받고 있다. LG유플러스 서버를 관리하는 보안 기업 시큐어키가 지난 7월 31일 한국인터넷진흥원(KISA)에 침해사고 신고를 한 것으로 15일 뒤늦게 알려졌기 때문이다.

미국 해킹 전문지 ‘프랙(Phrack)’이 지난달 8일 “북한 해킹 조직 김수키가 KT, LG유플러스, 시큐어키를 상대로 해킹한 정황을 확인했다”고 밝히기 이전인 7월 19일, KISA는 관련 내용을 제보받고 기업들에 침해 정황을 안내했다. 이 가운데 시큐어키만 KISA에 신고했다. 타사들은 프랙 보고서 관련해 침해 정황은 없다는 입장이다.

시큐어키가 실제 침해사고로 신고하면서 프랙 보고서에 대한 신뢰가 높아졌다. 그러나 LG유플러스는 “시큐어키에서 유출된 아이디, 패스워드로 자사 서버에 침투한 흔적이 발견되지 않아 침해 신고를 하지 않았다”고 설명했다. 올해 침해사고로 민관합동조사단 조사를 받지 않은 국내 통신사는 LG유플러스 하나다.

올해 다수의 해킹 사태로 민관합동사단이 구성되려면 기업이 직접 침해사고를 신고해야 한다는 점이 주목받았다. 반면 ‘개인정보보호법’에 따라 개인정보보보위원회는 개인정보 유출이 우려되는 기업을 직권 조사할 수 있다. 개인정보위가 10일 KT와 LG유플러스에 대한 조사에 착수하자, KT는 11일 무단 소액 결제 관련 개인정보 유출을 신고하기도 했다.

‘자체 분석 결과 침해 정황이 없으니 신고하지 않는다’는 말이 좋게 받아들여지지 않는 시기다. KT는 지난달 말부터 소액결제 피해가 발생했지만 수일이 지나 지난 6일 홈페이지에 피해 내용을 공유하고, 8일 KISA에 침해사실을 신고했다. 지연 신고로 민관합동조사단 구성이 늦어졌다는 비판이 나온다.

현행 ‘정보통신망법’은 기업이 스스로 정보통신망 침해사고에 대처할 수 있도록 자율을 줬다. 그러나 연이은 침해사고에서 나온 문제들로 기업의 자율적인 신고에만 의지해 민관합동조사단을 구성하는 건 이제 그만해야 한다는 의견이 여야에서 공감을 얻고 있다. 민관합동조사단은 안랩 등의 민간 보안 전문가가 투입돼 기업의 해킹 원인을 파악하는 데 협력하는 역할을 한다. SKT 해킹 관련해서도 조사결과를 투명하게 공개하는 점을 볼 수 있었다.

국회에서는 ‘정보통신망법’ 개정이 이뤄지려면 내년까지는 봐야 한다는 말이 나왔다. 올해 당장의 문제들을 해결할 수는 어렵겠지만 시간이 걸리더라도 해야 하는 일이다. 침해사고를 초기에 발견할 수 있도록 법 제도 정비가 필요하다. 국회마저 ‘소 잃고 외양간도 고치지 않는다’는 비판을 받게 되면 안 된다.