최근 통신사와 금융사를 겨냥한 연이은 사이버 침해 사고가 발생하며 국민들의 불안감이 고조되고 있다. 특히 KT의 무단 소액결제 침해 사고와 롯데카드의 대규모 개인신용정보 유출 사고는 디지털 전환과 AI 강국을 향한 대한민국의 행보에 보안이라는 근본적인 난제를 안겨주고 있다. 이러한 상황에 대응하기 위해 과학기술정보통신부(과기정통부)와 금융위원회(금융위)는 합동 브리핑을 통해 사고 경위 조사 결과와 향후 대응 방향을 발표하며 문제 해결에 대한 의지를 밝혔다.
이번 사고의 근본적인 문제점은 빠르게 진화하는 해킹 기술과 수법에 비해 기업들의 보안 대응이 뒤처지고 있다는 점이다. KT의 경우, 용의자들이 경찰에 검거되면서 민관합동조사단이 수사에 착수했다. 조사단은 해커의 불법 초소형 기지국이 KT 내부망에 어떻게 접속할 수 있었는지, 피해자의 통신을 어떻게 탈취하였는지, 소액결제에 필요한 개인정보는 어떤 경로로 확보하였는지를 중심으로 조사를 진행 중이다. KT는 펨토셀 관리·운영 실태 파악 과정에서 발견된 문제점에 대해 시정 조치를 취했으며, 불법 초소형 기지국이 내부망에 접속하고 동작하는 방식을 분석하기 위해 테스트 환경도 구축했다.
무단 소액결제 피해 규모 산정에 있어서도 이전보다 더욱 면밀한 접근이 이루어졌다. 당초 민원이 제기된 피해자의 통화 기록만을 바탕으로 피해자를 산정했던 방식에서 벗어나, 소액결제를 이용했던 약 220만 명의 통화 기록 2,267만 건을 분석하여 추가적인 불법 기지국 ID 존재 여부를 파악했다. 그 결과, 현재까지 민원이 제기된 피해자의 통화 기록을 바탕으로 확인된 불법 기지국 ID 4개 외 추가 ID는 발견되지 않았다. 이러한 과정을 통해 KT는 당초 278명, 약 1억 7,000만 원에서 84명, 7,400만 원이 증가한 362명, 약 2억 4,000만 원의 피해 규모와 2만 30명의 이용자가 불법 기지국에 노출되어 전화번호, 가입자 식별번호 정보, 단말기 식별번호 정보가 유출된 정황을 발표했다. KT는 추가 확인된 피해자에 대해 피해 금액을 청구하지 않고 무상 유심 교체를 지원하기로 했으며, 9월 9일부터는 정상적인 인증을 거친 기지국만 KT 내부망에 접속 가능하도록 조치하여 현재는 어떠한 종류의 미등록 불법 기지국을 통한 내부망 접속도 불가능한 상태이다.
한편, 롯데카드의 경우 미상의 해커가 온라인 결제 서버에 침입하여 당초 신고된 1.7GB를 포함해 총 200GB의 정보를 유출한 것으로 밝혀졌다. 이로 인해 약 297만 명의 개인신용정보가 유출되었으며, 이 중 28만 명의 경우 부정사용 가능성이 제기되었다. 롯데카드는 부정사용 시 즉시 선보상, 추가 보안인증, 카드 재발급 등 소비자 보호 조치를 취하고 있으며, 이상거래탐지시스템(FDS)을 가동하여 부정사용 가능성을 차단하고 있다. 금융감독원과 금융보안원 또한 현장 조사에 착수하여 정보유출 경위와 보안 위규사항 등을 면밀히 파악 중이다.
이러한 일련의 사고를 계기로 정부는 보다 근본적인 대책 마련에 나선다. 과기정통부는 국내 최고 보안 전문가들과 함께 현행 보안 체계 전반을 재검토하고, 기업들이 침해사고 사실을 고의로 지연 신고하거나 미신고할 경우 처분을 강화하는 한편, 기업의 자발적인 보안 투자 확대를 위한 제도적 유인책을 마련할 계획이다. 또한, AI 기술을 활용한 국가 보안 체계 고도화에도 힘쓸 예정이다. 금융위원회는 금융권의 보안 대응이 현실을 따라가지 못하는 측면을 인정하며, 보안투자를 부차적인 업무로 여기는 안일한 자세를 경계해야 할 시점이라고 강조했다. 이에 따라 금융회사 CEO 책임 하에 전산시스템 및 정보체계 전반에 대한 긴급 점검을 실시하고, CISO의 권한 강화, 소비자 공시 강화 등 다양한 대책을 강구할 예정이다. 또한, 사회적 파장에 상응하는 엄정한 결과 책임을 물을 수 있도록 징벌적 과징금 도입 방안을 신속히 추진하며, 불가피한 침해사고 발생 시 신속한 시스템 복구와 피해자 구제를 위한 제도 개선 과제도 발굴·추진할 계획이다.
정부는 이번 사태를 계기로 통신, 금융 등 국민 생활과 밀접한 분야의 보안을 획기적으로 강화하여 국민들이 신뢰할 수 있는 안전한 디지털 환경을 조성하는 데 총력을 기울일 방침이다.
About the Author
