KT 무단 소액결제 원인, 외주 준 '펨토셀' 관리 부실최근 5년간 외주비율 25%p 늘어···보안인력도 감소세'보안 무관심'이 부른 사고···업계선 "체계 재정비해야"
최근 통신업계를 강타한 '해킹 사태' 이면에는 돈벌이에 혈안이 돼 보안을 외면해 온 부적절한 경영철학이 있다는 분석이 나온다. 수년간 정보보호 인력 비중을 낮추면서, 그마저도 외주로 돌려온 사실이 이를 방증한다. 업계에서는 보안이 국가 기간통신사업자의 근간인 만큼 원점부터 재정비해야 한다고 지적한다.
25일 업계에 따르면, 최근 발생한 KT 무단 소액결제 사건의 원인 중 하나로 외주에 기대어 '초소형 기지국'(펨토셀)을 제대로 관리하지 못한 조직체계가 꼽힌다.
전날 국회 과학기술정보방송통신위원회가 연 KT·롯데카드 해킹 사태 청문회에 증인으로 출석한 김영섭 KT 대표이사는 "소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다. 사고 이후 사용하지 않는 펨토셀은 망에 붙지 못하도록 조치했다"며 고개를 숙였다.
펨토셀은 통신 음영지역을 해소하기 위해 설치되는 초소형 기지국이다. 해킹 용의자들은 이 장비를 차에 싣고 다니며 KT 이용 고객들의 휴대전화를 해킹해 소액결제 사기를 저지른 것으로 알려졌다.
KT는 펨토셀 설치·회수 관리를 외주업체에 맡기고 있다. 펨토셀 유효 인증 기간도 10년으로 설정하고, 별도의 안전(차단) 장치조차 넣지 않았다. 경쟁사(SK텔레콤·LG유플러스)가 1~3개월 단위로 트래픽을 체크해 인증을 삭제하는 것과 대비된다. 이런 취약점이 해커들의 레이더망에 포착돼 이번 사건으로 이어졌을 가능성이 크다.
이 같은 '보안 구멍'은 KT에만 있지 않다. LG유플러스와 SK텔레콤도 각각 2023년 1월, 올해 4월 대규모 정보유출 사태를 겪었다. 두 사건 모두 황당할 정도로 '보안의 기본'을 무시해 생긴 사고였다.
일례로 LG유플러스는 데이터베이스(DB) 시스템 관리자 계정 암호를 시스템 초기 상태인 'Admin' 그대로 유지했다. 이 분야를 아는 사람이라면 누구나 유추할 수 있는 비밀번호라는 게 당시 정부 관계자의 설명이다. SK텔레콤은 시스템 관리망 내 서버 암호를 장기간 변경하지 않았고, 주요 정보를 암호화 없이 평문으로 저장해 피해를 키웠다. 심지어 보안 업데이트조차 수년간 받지 않았다.
통신사들의 정보보호에 대한 '무관심'은 다양한 지표로도 확인된다. 한국인터넷진흥원(KISA) 정보보호 공시 종합포털을 보면 통신 3사 모두 최근 5년간 정보보호 업무를 담당하는 인력의 비중을 줄여왔다.
최근 무단 소액결제 사고가 난 KT의 경우 2020년 7%이던 정보기술(IT) 대비 정보보호 인력 비중이 지난해 4.7%까지 떨어졌다. SK텔레콤은 8.1%에서 6.9%로 소폭 하락했고, LG유플러스는 4%에서 3.2%까지 내려갔다가 대규모 해킹사태에 따른 보안투자 강화 기조에 6%까지 늘어났다.
그마저도 '외주'로 넘기는 회사가 많았다. 대표적인 사례는 올해 4월 사상 초유의 해킹사태를 야기한 SK텔레콤이다. 이 회사는 내부 인력으로 보안을 책임지다가 2021년 돌연 정보보호 인력의 81%를 외주로 전환했다. 지난해 77%까지 낮아지긴 했으나, 여전히 외주 비중이 과도하다는 게 업계의 주된 평가다.
KT는 2020년 15.3%에 불과하던 외주 인력 비중을 서서히 늘려 지난해 40.7%에 달했고, LG유플러스는 40~60%대를 오가는 높은 비중을 유지하고 있다. 외주 시스템은 기업이 특수 업무에 대한 전문성을 높일 수 있다는 장점이 있는 반면, 운영 능력과 문제 대응력이 떨어지는 한계가 있다.
업계 한 관계자는 "국가 기간통신사업자에 보안 구멍이 생기면 일반 기업의 해킹보다 충격파가 클 수밖에 없고, 그 피해는 고스란히 우리 국민이 받게 된다"면서 "보안 체계를 원점에서부터 다시 점검할 필요가 있다"고 강조했다. 김승주 고려대 교수는 전날 청문회에서 "탐지와 방어, 원천 무력화를 중심에 놓는 국방의 '3축 체계'를 사이버 보안에도 도입해야 한다"고 조언했다.
고객정보 관문 '10년간' 방치···기본 망각한 통신사들
25일 업계에 따르면, 최근 발생한 KT 무단 소액결제 사건의 원인 중 하나로 외주에 기대어 '초소형 기지국'(펨토셀)을 제대로 관리하지 못한 조직체계가 꼽힌다.
전날 국회 과학기술정보방송통신위원회가 연 KT·롯데카드 해킹 사태 청문회에 증인으로 출석한 김영섭 KT 대표이사는 "소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다. 사고 이후 사용하지 않는 펨토셀은 망에 붙지 못하도록 조치했다"며 고개를 숙였다.
);)
KT는 펨토셀 설치·회수 관리를 외주업체에 맡기고 있다. 펨토셀 유효 인증 기간도 10년으로 설정하고, 별도의 안전(차단) 장치조차 넣지 않았다. 경쟁사(SK텔레콤·LG유플러스)가 1~3개월 단위로 트래픽을 체크해 인증을 삭제하는 것과 대비된다. 이런 취약점이 해커들의 레이더망에 포착돼 이번 사건으로 이어졌을 가능성이 크다.
이 같은 '보안 구멍'은 KT에만 있지 않다. LG유플러스와 SK텔레콤도 각각 2023년 1월, 올해 4월 대규모 정보유출 사태를 겪었다. 두 사건 모두 황당할 정도로 '보안의 기본'을 무시해 생긴 사고였다.
일례로 LG유플러스는 데이터베이스(DB) 시스템 관리자 계정 암호를 시스템 초기 상태인 'Admin' 그대로 유지했다. 이 분야를 아는 사람이라면 누구나 유추할 수 있는 비밀번호라는 게 당시 정부 관계자의 설명이다. SK텔레콤은 시스템 관리망 내 서버 암호를 장기간 변경하지 않았고, 주요 정보를 암호화 없이 평문으로 저장해 피해를 키웠다. 심지어 보안 업데이트조차 수년간 받지 않았다.
IT 기술자 100명 중 보안 인력은 달랑 3명
통신사들의 정보보호에 대한 '무관심'은 다양한 지표로도 확인된다. 한국인터넷진흥원(KISA) 정보보호 공시 종합포털을 보면 통신 3사 모두 최근 5년간 정보보호 업무를 담당하는 인력의 비중을 줄여왔다.
);)
그마저도 '외주'로 넘기는 회사가 많았다. 대표적인 사례는 올해 4월 사상 초유의 해킹사태를 야기한 SK텔레콤이다. 이 회사는 내부 인력으로 보안을 책임지다가 2021년 돌연 정보보호 인력의 81%를 외주로 전환했다. 지난해 77%까지 낮아지긴 했으나, 여전히 외주 비중이 과도하다는 게 업계의 주된 평가다.
KT는 2020년 15.3%에 불과하던 외주 인력 비중을 서서히 늘려 지난해 40.7%에 달했고, LG유플러스는 40~60%대를 오가는 높은 비중을 유지하고 있다. 외주 시스템은 기업이 특수 업무에 대한 전문성을 높일 수 있다는 장점이 있는 반면, 운영 능력과 문제 대응력이 떨어지는 한계가 있다.
업계 한 관계자는 "국가 기간통신사업자에 보안 구멍이 생기면 일반 기업의 해킹보다 충격파가 클 수밖에 없고, 그 피해는 고스란히 우리 국민이 받게 된다"면서 "보안 체계를 원점에서부터 다시 점검할 필요가 있다"고 강조했다. 김승주 고려대 교수는 전날 청문회에서 "탐지와 방어, 원천 무력화를 중심에 놓는 국방의 '3축 체계'를 사이버 보안에도 도입해야 한다"고 조언했다.
뉴스웨이 임재덕 기자
Limjd87@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글