[집중취재]통신·금융부터 정부기관까지…연쇄 해킹 충격

【 앵커멘트 】 최근 금융권과 통신사, 그리고 정부 기관까지 연달아 해킹 피해 정황이 드러나면서 사이버 보안이 국가적 위기로 부상하고 있습니다. SK텔레콤부터 롯데카드, KT와 LG유플러스, SGI서울보증, 그리고 웰컴금융그룹까지 연쇄적인 사건이 이어지고 있는데요. 오늘은 이 사태의 전개와 파장을 짚어보겠습니다. 이나연 기자, 어서오세요. 【 기자 】 네, 안녕하세요.【 앵커멘트 】 먼저 사건의 전개 과정을 기자가 정리해주시죠.【 기자 】 롯데카드의 경우, 지난 달 26일 서버 점검 과정에서 악성코드가 발견됐습니다. 전체 서버 점검결과, 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견됐고, 1.7GB의 데이터 유출 시도가 있었습니다. 개인정보 유출 여부는 아직 확인되지 않았습니다. 앞서 SGI서울보증도 지난 7월 랜섬웨어 공격을 받았습니다. 재해복구센터와 백업 시스템이 모두 암호화되면서 사흘 동안 업무가 마비됐는데요. 가장 큰 문제는 기본 비밀번호 '0000'을 장기간 사용했고, 백업을 물리적으로 분리하지 않아 최후의 방어선까지 뚫렸다는 점입니다. 이 때문에 일부 은행은 보증대출 업무를 거부하면서 서민 금융이 차질을 빚을 뻔했습니다. 또 웰컴금융그룹 계열사도 해킹을 당했습니다. 웰릭스에프앤아이대부에서 이달 초 랜섬웨어 공격이 발생했습니다. 처음에는 "개인정보 유출이 없다"고 발표했지만, 러시아 해커 조직이 "고객 정보를 보유하고 있다"고 주장하면서 상황이 달라졌습니다. 현재 금감원이 현장검사에 들어가 피해 규모를 조사하고 있습니다.【 앵커멘트 】 통신사들도 해킹 정황이 드러났죠? 【 기자 】 네, 지난 4월 해킹 사실이 드러난 SK텔레콤에 이어 KT와 LG유플러스 역시 올해 상반기 수개월간 해킹당했다는 정황이 포착됐습니다. 글로벌 해킹 전문지 '프랙 매거진' 40주년 기념호에서는 한 보고서가 공개됐는데요. 익명의 화이트해커 두 명은 'KIM'이라는 공격자로부터 8GB에 달하는 한국 기관·기업 유출 데이터를 확보했다며 매거진에 제보했습니다. 유출 데이터 목록에는 KT와 LG유플러스에서 나온 자료가 포함된 것으로 나타났습니다. KT에서는 SSL 인증서 유출 흔적이, LG유플러스에서는 서버 계정과 직원 정보, 내부 관리 시스템 소스코드까지 외부에 넘어간 정황이 드러났습니다. 심지어 일부 정부 부처의 전자서명 인증서와 내부망 자료도 포함돼 있었는데요. 행정안전부 행정전자서명 인증서, 외교부 내부 메일 서버 소스코드, 통일부·해양수산부 '온나라' 소스코드 및 내부망 인증 기록 등이 유출됐습니다.【 앵커멘트 】 지난 달 SK텔레콤도 해킹 사고와 관련해 개인정보보호위원회로부터 역대 최대 과징금을 부과받았습니다. 이번에는 집단분쟁조정 절차가 개시된다고요?【 기자 】 SK텔레콤은 지난 4월 유심 인증 장비가 해킹당해 최대 2천300만 명의 피해자가 발생할 수 있다는 조사 결과가 나왔는데요. 결국 한국소비자원 소비자분쟁조정위원회가 집단 분쟁조정 절차 개시에 들어갔습니다. 이미 소비자 2천여 명이 집단 분쟁조정을 신청했고, SK텔레콤은 손해배상과 재발방지 대책을 요구받고 있습니다. 위원회는 SK텔레콤이 조정 결정 내용을 받아들이면 보상계획안을 제출받아 조정 참가 신청을 하지 않은 소비자들도 일괄 보상을 받을 수 있을 전망입니다.【 앵커멘트 】 단순한 개별 사건으로만 보기 어렵겠군요. 공격을 당한 기업들의 공통된 문제는 뭡니까?【 기자 】 통신사부터 금융사까지 동시에 피해가 발생했다는 건 생활과 직결된 인프라 전체가 노출됐다는 의미라고 볼 수 있습니다. 개인정보 유출뿐 아니라 인증서, 서버 계정, 내부망 코드 같은 핵심 자산이 외부로 흘러나간 점에서 국가 안보와도 직결되는 심각한 사안이라는 지적이 나오고 있습니다. 무엇보다 문제는 내부통제 부실입니다. SGI서울보증은 기본 비밀번호를 장기간 사용했고, 최후의 보루인 소산백업도 전산망에 연결해 두는 바람에 방어선이 무너졌습니다. 또 단일 계정으로 수십 개 서버를 관리해 하나가 뚫리면 연쇄적으로 피해가 확산되는 구조였습니다. 보안 인력도 턱없이 부족했습니다. SGI서울보증의 경우 보안 전담 인력이 4명뿐이었고, 주말에는 외주 직원들이 원격으로 관리했습니다. 결국 주말에 공격이 발생했지만 사고 인지까지 하루 이상 걸렸습니다. 이와 함께 제도적 허점도 문제입니다. 현행법상 기업이 자진 신고를 하지 않으면 당국이 강제로 조사에 나서기 어렵습니다. KT와 LG유플러스도 "사고가 없다"고 보고했지만, 해외 보고서에서는 침해 정황이 드러났습니다. 최근 과징금을 부과받은 SK텔레콤의 경우도 앞서 말했던 문제들과 비슷했는데요. 고학수 개인정보보호위원회 위원장의 SK텔레콤 유심 사태 관련 브리핑, 잠시 들어보시겠습니다. ▶ 인터뷰 : 고학수 / 개인정보보위원회 위원장- "회사가 꽤 오랜기간을 두고 전반적으로 허술한 상태를 유지하고 있었습니다. 총체적으로 취약한 상태에 놓여 있고, 그런 것을 회사가 꽤 긴 기간을 두고 알 수 있는데, 조치를 취할 수 있는 계기들이 있었는데 계속적으로 놓친…위원들 전반적으로 답답함을 느낀 부분이 있고요. "【 앵커멘트 】 해외 사례와 비교하면 어떻습니까?【 기자 】 미국은 금융사와 기간산업에 대해 의무적 사고 보고 체계를 두고 있고, 유럽은 일반정보보호법, GDPR 위반 시 매출의 최대 4%까지 과징금을 부과합니다. 일본은 대기업에 CISO, 즉 최고정보보호책임자 제도를 의무화했습니다. 반면, 우리나라는 아직 자진 신고 중심이라 기업이쉬쉬할 수 있는 구조적 문제를 안고 있습니다. SK텔레콤 사건처럼 대규모 집단 분쟁조정으로 번져야만 제도 개선 논의가 본격화되는 현실입니다.【 앵커멘트 】 앞으로 어떤 파장이 예상되나요?【 기자 】 개인정보 유출이 현실화되면 금융사기 같은 2차 피해가 본격화될 수 있습니다. 또 금융사와 통신사에 대한 신뢰가 무너지면 주가와 영업에도 타격이 클 것으로 보입니다. 당국 차원에서도 금감원과 개인정보위가 과징금과 임직원 제재에 나설 가능성이 높습니다. 이제 보안은 단순한 비용이 아니라 기업과 국가의 생존 문제라는 인식 전환이 필요합니다. 개인정보위는 이번 달 대규모 개인정보 처리자의 보안 투자 확대와 인센티브 개편을 포함한 종합대책을 발표할 계획입니다. 고학수 위원장 이야기 들어보겠습니다. ▶ 인터뷰 : 고학수 / 개인정보보호위원회 위원장- "개인정보보호관리체계(ISMS-P)를 의무화하려고 하면 법률 개정이 필요한 점이 있습니다 그래서 향후 논의가 필요하고요. 조만간 발표할 대책에는 SK텔레콤으로부터 조금 더 직접적으로 문제의식을 얻어서 이동통신 서비스라든가, 주요 공공시스템에 대해서는 의무화가 필요한지 검토하고 있다…그래서 그에 대해서는 내부 논의중이고…"【 앵커멘트 】 이번 사건들은 우리 사회가 얼마나 사이버 위협에 취약한지를 보여줍니다. 더 이상 개별 기업의 문제가 아니라 국가 경제와 안보까지 흔들 수 있는 사안이라는 점에서 근본적인 대책이 시급한 사안입니다. 이나연 기자, 오늘 말씀 잘 들었습니다. #오피파라다이스