[기자수첩] 해킹 사고는 끝났지만, 개인정보는 돌아오지 않는다

[산업일보]
지난해 발생한 KT 무단 소액결제 사고는 생소한 펨토셀(초소형 기지국)을 악용해 내부망에 무단 접속하면서 벌어진 것으로 일단락됐다. 그러나, 피해자들은 안심할 수 없다. 범인은 잡혔지만 윗선은 남았고, 개인정보는 여전히 그들의 손에 있다.

사고 과정을 되짚어보면, 공격자는 불법 펨토셀을 통해 피해자들의 스마트폰과 KT 기지국 간의 연결을 가로채는 방식으로 2만 2천227명의 전화번호, IMSI(가입자 식별번호), IMEI(단말기 식별번호) 등의 정보를 탈취했다.

이 중 368명의 결제 인증용 문자·전화를 공격자에게 수신되도록 우회시킨 뒤 통신사 소액결제로 상품권을 구매했고, 총 2억 4천300만 원의 피해가 발생했다.

결제 피해자 368명은 어떻게 선정했을까? 민관합동조사단은 불법 펨토셀에서 수집한 정보와 ‘미상의 경로’로 취득한 이름·생년월일·전화번호를 결합해 범죄 대상을 선택한 것으로 파악했다. 그간 반복돼 온 대형 개인정보 유출 사고가 복합적으로 작용했다는 말로 읽힌다.

KT사고는 우리가 통제할 수 없는 통신망에서 벌어졌다. 그리고, 이는 KT의 보안 관리가 부실했기 때문이었다. 모든 펨토셀에 동일한 인증서를 사용했으며, 유효기간을 10년으로 설정해 사실 상 한번만 접속에 성공하면 지속적인 내부망 침투가 가능했다.

재난과 같은 사고를 겪은 피해자들은 유심을 교체하고, 2차 인증을 강화했으며, 소액결제를 차단했다. 오랫동안 사용한 전화번호를 교체하기도 했다.

그러나, 바꾸기 어려운 개인정보가 남았다. 이름과 주민등록번호다. 2017년부터 유출로 인해 피해 우려가 있다고 인정되는 사람은 주민등록번호를 바꿀 수 있는데, 이마저도 뒤에서 6자리만 변경 가능해 생년월일은 그대로 유지할 수밖에 없다. 개명 절차는 이전보다 간편해졌다고 하지만, 평생 써온 이름을 바꾸기란 쉽지 않은 일이다.

해커가 가지고 있는 불법 유출 개인정보 DB는 회수나 삭제가 불가능에 가깝다. 그들 사이에서 거래나 공유를 통해 복제본이 많이 생성돼 있으며, 원본의 소재지 추적도 어렵다. 즉, KT 사례처럼 언제든 금전적 손해로 이어질 수 있는 해킹 사고 위협이 존재하는 셈이다.

이 때문에 ‘내 정보’에 대한 관심이 강조된다. 정부는 개인정보 권리·이익 침해 신고를 접수하는 ‘개인정보침해 신고센터’와, 다크웹에 유출된 정보가 있는지 확인할 수 있는 ‘털린 내 정보 찾기 서비스’ 등을 운영하고 있다. 다만, 탐지된 정보를 실시간으로 알려주진 않기 때문에 주기적인 모니터링 활동이 필요하다. 결국, 피해를 막기 위한 개인의 노력이 늘어나고 있다.

개인정보보호위원회 관계자는 기자와의 통화에서 “개인정보 처리자가 관리하고 있던 개인정보가 유출되거나 권한 없는 자에 의해 다른 목적으로 활용될 경우에 대한 규제 체계를 가지고 있다”라면서도 “현행법상 유출된 개인정보에 대한 2차 유통에 대한 처벌 규정이 제한적이라는 의견을 반영해 개선 준비 중”이라고 설명했다.

한편, KT는 2024년 3월~7월 중 BPF Door를 비롯한 악성코드 103종에 94대의 서버가 감염됐음을 확인했으나, 정부에 신고 없이 자체 조치했다. 그 때문에 지난해 4월 SKT 침해사고 당시 악성코드가 발견되지 않았다. KT가 해킹 사실을 즉시 정부와 타 통신사에 공유했다면 피해 규모를 줄일 수 있지 않았을까, 아쉬움이 남는 대목이다.

또한 지난해 7월 19일 KISA(한국인터넷진흥원)는 익명의 제보자로부터 LG U+의 자료 유출 정황을 입수해 안내했고, LG U+는 10월 23일 침해사고를 신고했다.

제보 내용은 공격자가 APPM 솔루션 협력사를 해킹해 LG U+서버에 침투했다는 것이었으나, 이미 협력사 직원의 노트북에서 LG U+서버로 이어지는 네트워크 경로상 주요 서버가 8월 12일부터 9월 15일에 걸쳐 OS가 재설치 또는 폐기돼 조사가 불가능했다. KT와 SKT 역시 침해사고 조사과정에서 서버를 폐기하거나 자료보전 명령을 위반했다.

인공지능으로 인해 디지털화가 심화하면서 개인정보의 중요성도 점차 커지고 있다. 그러나 이를 위임받아 관리하는 기업들의 보안 수준과 사고 이후 책임 의식은 과거에 머물고 있으며, 그 결과는 고스란히 개인의 금전적 피해로 이어지고 있다.

KT 침해사고 조사결과 발표 이후, KT는 정부의 판단에 따라 위약금을 면제하고 ‘고객 보답 프로그램’이라는 이름의 고객 유지 혜택을 제공하고 있다. SKT와 LG U+는 KT 이탈 고객을 겨냥해 판매장려금을 인상하고 유치 마케팅을 펼치고 있다. 익숙한 풍경이다.

2025년 발생한 통신사 해킹사고는 이렇게 지나가고 있다. 펨토셀을 악용한 재발 방지 대책도 마련됐다. 하지만 유출된 개인정보를 감당해야 하는 부담은 개인에게 고스란히 남았다.