호미로 막을 걸 가래로도 못 막은 통신사 [줌인IT]

‘호미로 막을 걸 가래로도 못 막는다.’

올해 해킹 사고로 체면을 구긴 이동통신 3사를 보면서 떠오른 속담이다. 이동통신사들이 작은 문제를 초기에 인정하고 대응했다면 사태는 이렇게 커지지 않았을 것이라는 판단에서다.

통신 3사는 사고 사실을 있는 그대로 공개하기보다 축소와 은폐에 집중했고 결과적으로 피해와 비용을 키웠다. 결국 호미로 막을 걸 가래로도 못막는 상황을 초래했다. 

KT는 8월 무단 소액결제 해킹 사고가 불거진 뒤 늑장 신고는 물론 자의적인 서버 폐기로 논란을 키웠다. 여기에 최근 과학기술정보통신부 민관합동조사단 1차 브리핑에서 2024년 3월부터 7월까지 악성코드 BPF도어와 웹셸에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 조치한 사실까지 추가로 확인됐다.

KT는 정부 발표로 모든 것이 탄로나자 뒤늦게 “송구하다”며 고개를 숙였다. 과연 KT의 사과 메시지에 진정성을 느낀 고객과 국민이 있을지 모르겠다. 주요 포털사이트 등에는 “통신사업권 박탈 수준의 사안이다”라며 격앙된 여론만 발견된다.

업계 1위인 SK텔레콤 역시 은폐 책임에서 자유로울 수 없다. 4월 이동통신 전체 이용자 2324만4649명(알뜰폰 포함)의 휴대전화번호, 국제이동가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 총 25종 정보가 2021년부터 유출된 것은 단편적인 문제다. 

SK텔레콤은 2022년 2월 특정 서버의 비정상적인 재부팅하자 자체 점검 과정에서 악성코드 감염을 확인했으나 정부에 신고하지 않았다. 정보통신망법에 따르면 침해 사고가 발생하면 즉시 그 사실을 과기정통부 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 위반 시 3000만원 이하 과태료 부과 대상이다. 

LG유플러스 역시 내부 서버 관리용 계정 권한 관리 시스템(APPM) 서버의 소스코드와 데이터베이스가 유출됐음에도 침해는 없었다는 애매모호한 태도를 유지해 왔다. 결국 10월 국회 국정감사에서 질타를 피하지 못했다. 

LG유플러스는 또 3차례나 해킹 관련 서버의 운영체계(OS)를 재설치한 것으로 드러나 증거 인멸 논란을 일으켰다. LG유플러스는 취약점이 발견돼 선제적으로 재설치했다고 해명했지만 해킹 관련 서버라면 이를 보존해 정부의 조사부터 먼저 따랐어야 한다는 지적이다.

결국 국회는 더이상 통신3사의 자정적인 노력을 기대하는 것은 무리가 있다고 보고 강제 조치에 나섰다. 이주희 더불어민주당 의원은 통신망 침해 사고를 은폐하거나 신고를 지연한 사업자에 대해 최대 매출액의 3%까지 과징금을 부과할 수 있도록 하는 법안을 발의했다. 통신3사가 지나친 조치라고 항변해도 어쩔 수 없다. 모두 자업자득이다.

김광연 기자
fun3503@chosunbiz.com