KT·LGU+ 이어 SKT까지…반복되는 해킹에 통신사 책임론 부상

기사입력 : 2025년04월27일 17:14

최종수정 : 2025년04월27일 21:44

"SKT 사태, 해커 수준 못 따라간 보안이 원인…보안 투자 힘써야"

[서울=뉴스핌] 김영은 인턴기자 = 국내 이동통신 3사가 해킹 공격으로 대규모 개인정보 유출 사고를 반복적으로 겪으면서, 통신사 보안 체계에 대한 우려가 커지고 있다.

27일 통신업계에 따르면 최근 발생한 SK텔레콤 유심(USIM) 정보 유출 사건 이전에도 ▲2012년 KT 영업시스템 해킹(약 870만명 정보 유출) ▲2013~2014년 KT 홈페이지 해킹(약 1200만명 정보 유출) ▲2023년 LG유플러스 해킹(약 30만명 정보 유출) 등이 있었다.

[서울=뉴스핌] 김영은 인턴기자 = 국내 이동통신 3사(SKT·KT·LGU+) 정보 유출 사례 2025.04.27 yek105@newspim.com

2012년 KT에서는 해커가 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 영업시스템 전산망을 해킹해 약 870만 명의 개인정보가 유출됐다. 이듬해인 2013~2014년에는 해커가 신종 해킹 툴인 '파로스 프로그램' 등을 이용해 KT 홈페이지에서 고객정보를 탈취하며 약 1200만명의 정보가 추가로 새어나갔다.

KT는 당시 약 870만명의 정보 유출과 관련해 방송통신위원회로부터 과징금 약 7억원이라는 행정 처분을 받았다. 피해자 수만 명이 KT를 상대로 집단 민사 손해배상 소송도 제기했으나, 대법원은 "KT가 당시 방통위의 고시에서 정한 기술적·관리적 보호조치를 다했다고 볼 수 있다"며 KT의 배상 책임을 인정하지 않았다.

이듬해 발생한 약 1200만명의 개인정보 유출 피해와 관련해 법원은 "KT가 당시 기대 가능한 수준의 보호조치를 다했다"며 방통위의 과징금(7000만원) 처분을 취소하고, 민사 손해배상 소송도 인정하지 않았다. 다만 정보통신망법상 개인정보보호 관련 규정(기술적·관리적 보호조치 의무 중 '접근통제' 조항) 위반 등을 이유로 과태료(1500만원) 처분은 그대로 인정했다.

2023년에는 LG유플러스에서 유출 원인이 명확히 밝혀지지 않은 해킹 사건이 발생해 약 30만명의 개인정보가 불법거래 사이트에 유출됐다. 개인정보보호위원회는 LG유플러스에 68억원의 과징금과 2700만원의 과태료를 부과했다. 조사 결과, 고객인증시스템(CAS) 등 주요 인프라의 보안 환경이 열악했고, 접근권한·접속기록 관리가 부실했던 것으로 드러났다.

개인정보보호위원회는 당시 LG유플러스에 과징금 68억 원과 과태료 2700만 원을 부과하고, ▲개인정보보호책임자(CPO) 역할 강화 ▲보안 조직 전문성 제고 ▲내부관리계획 재정립 ▲시스템 전반 점검 및 취약점 개선 등 시정명령을 내렸다.

SK텔레콤은 지난 19일 오후 11시쯤 사내 시스템이 해커에 의해 해킹 공격을 당한 사실을 인지했다. 하지만 현재까지 구체적 해킹 경로나 피해 규모를 특정하지 못한 상황이다. SK텔레콤 측은 지난 20일과 22일, 각각 한국인터넷진흥원(KISA)과 개인정보보호위원회에 개인정보 유출 정황을 신고했다. 과학기술정보통신부도 합동조사단을 꾸려 조사에 착수했지만, 조사 결과가 나오기까지 한 달 이상 소요될 것으로 보인다.

SK텔레콤 측은 지난 22일부터 "전화번호, 기기 고유번호 등 유심 정보 일부가 유출됐으나, 이름·주민등록번호 등 민감정보는 포함되지 않았다"고 여러 차례 밝히고 있다.

통신사들은 사고 이후 공통적으로 ▲시스템 점검 ▲보안 강화 ▲피해자 안내 등 후속 조치를 내놓고 있지만, 대규모 개인정보를 다루는 사회적 책임에 비해 대응이 미흡하다는 비판이 이어지고 있다.

황석진 동국대 국제정보보호대학원 교수는 "SK텔레콤 유심 정보 유출 사태는 보안 체계가 해커의 수준에 미치지 못했기 때문에 발생한 것으로 보인다"며 "유심칩 교체나 유심 보호 서비스 무료 제공 등 사후 조치는 실질적 피해 복구에 한계가 있으며, 가입자 입장에서는 정보 유출 자체만으로도 불안과 불만이 크다"고 지적했다. 그러면서 "보안 투자를 비용이 아닌 필수책임으로 인식하고, 사고 발생 시 신속한 복구와 고객 보호에 최우선 가치를 둬야 한다"고 제언했다.

한편 SK텔레콤의 이용자는 지난해 12월 기준 약 2307만명으로 국내 최대 규모(KT 약 1366만명, LG유플러스 약 1094만명)다. SK텔레콤은 오는 28일 오전 10시부터 유심카드 무료교체를 지원하고 있다. 유심카드 무료교체를 원하는 사용자는 대리점을 방문해 유심카드 무료교체를 받을 수 있지만, SK텔레콤이 유심카드를 자비로 교체한 고객들에게도 비용을 환불해주겠다고 하며 대리점의 유심카드가 품절되는 사태가 발생하기도 해 대리점 방문 전 확인이 필요하다.

yek105@newspim.com

[관련기사]

GAM - 해외주식 투자 도우미

앱러빈 ② AI 위협론 반박과 전자상거래 확장 기대

앱러빈 ① 캐피털워치 폭로성 주장 철회로 16% 급등

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

[홍콩 대장주] 메이퇀② 실적은 고속 상승, 밸류는 역대 저점

[뉴스핌 베스트 기사]

사진

김상겸 2억·유승은 1억 받는다 [서울=뉴스핌] 장환수 스포츠전문기자= 2026 밀라노·코르티나담페초 동계올림픽에서 한국 선수단에 1·2호 메달을 안긴 김상겸(하이원)과 유승은(성복고)이 대한스키·스노보드협회로부터 포상금을 받는다. 김상겸에게 2억원, 유승은에게 1억원이 지급된다. 협회는 10일(한국시간) "두 선수의 올림픽 메달 성과에 따라 사전에 공지된 기준대로 포상금을 지급할 예정"이라고 밝혔다. [리비뇨 로이터=뉴스핌] 장환수 스포츠전문기자= 김상겸이 8일 스노보드 남자 평행대회전에서 은메달을 차지한 뒤 기뻐하고 있다. 2026.02.09 zangpabo@newspim.com 김상겸은 8일 오후 이탈리아 리비뇨 스노파크에서 열린 스노보드 남자 평행대회전에서 은메달을 획득하며 한국 선수단의 첫 메달을 열었다. 이어 유승은이 10일 오전 여자 빅에어에서 동메달을 보탰다. 이들의 메달은 단순한 입상 이상의 의미를 갖는다. 한국 스키·스노보드 역사상 올림픽 두 번째와 세 번째 메달이자, 단일 올림픽 첫 멀티 메달이다. 협회의 포상금 기준은 새삼스러운 것은 아니다. 협회는 2022 베이징 동계 올림픽을 앞두고 금메달 3억원, 은메달 2억원, 동메달 1억원이라는 파격적인 기준을 마련했다. 당시에는 입상자가 나오지 않았지만, 이번 올림픽에서 동일하게 적용됐다. 협회의 포상은 메달리스트에게만 돌아가는 것은 아니다. 올림픽과 세계선수권, 월드컵 6위까지 포상금이 지급된다. 올림픽 기준으로 4위 5000만원, 5위 3000만원, 6위 1000만원이다. 결과뿐 아니라 과정과 경쟁력을 함께 평가하겠다는 메시지다. [리비뇨 로이터=뉴스핌] 장환수 스포츠전문기자= 여고생 스노보더 유승은이 10일 빅에어 결선에서 동메달을 차지한 뒤 기쁨의 눈물을 흘리고 있다. 2026.02.10 zangpabo@newspim.com 실제로 협회는 지난해에만 세계선수권과 월드컵 등 국제대회에서 성과를 낸 선수들에게 1억5500만원의 포상금을 지급했다. 2016년 이후 누적 포상금은 12억원에 육박한다. 이 같은 지원의 배경에는 롯데그룹이 있다. 2014년부터 회장사를 맡아온 롯데는 설상 종목 지원을 꾸준히 이어왔다. 신동빈 롯데그룹 회장은 이번 올림픽에서 첫 메달을 따낸 김상겸에게 축하 서신과 함께 소정의 선물도 전달한 것으로 전해진다. 신 회장은 서신에서 "포기하지 않고 획득한 결실이기에 더욱 의미가 크다"며 "오랜 기간 설상 종목의 발전을 꿈꿔온 한 사람으로서 앞으로의 여정을 응원하겠다"는 뜻을 전했다. 대한스키·스노보드협회는 올림픽 일정이 마무리된 뒤 다음 달 중 포상금 수여식을 열 예정이다. zangpabo@newspim.com 2026-02-10 09:27

사진

금감원장 "빗썸 오지급 코인 반환을" [서울=뉴스핌] 정광연 기자 = 이찬진 금융감독원장이 빗썸 비트코인 오지급 사태와 관련, 가상자산거래소 전체의 구조적인 문제라며 업권 전체를 대상으로 한 규제 강화의 필요성을 강조했다. 오지급 된 코인을 둘러싼 일부 고객과의 반환 논란에 대해서는 법적으로 명백한 '부당이득'이라며 조속한 반환을 촉구했다. 이 원장은 9일 서울 여의도 금감원 본원에서 열린 '2026년도 주요업무계획 브리핑'에서 이같이 밝혔다. [서울=뉴스핌] 정일구 기자 = 이찬진 금융감독원장이 5일 오전 서울 여의도 국회에서 열린 정무위원회 제1차 전체회의에서 인사말 및 업무보고를 하고 있다. 2026.02.05 mironj19@newspim.com 이번 사태는 지난 6일 오후 7시 빗썸이 이벤트 리워드 지급 과정에서 대상 고객 249명에서 2000원이 아닌 2000 비트코인을 지급하면서 발생했다. 총 62만개, 당시 거래금액 9800만원 기준 61조원 규모다. 빗썸은 20분만에 오지급을 인지하고 곧바로 거래 및 출금을 차단했지만 125개(약 129억원)에 달하는 비트코인은 이미 팔린 것으로 파악됐다. 나머지 99.7%에 해당하는 61만8000여개는 회수된 상태다. 이 원장은 이번 사태를 '재앙'이라고 표현하며 강한 우려를 나타냈다. 특히 "빗썸이 보유하지도 않은 '가상'의 코인이 '거래'됐다는 게 가장 큰 문제"라며 "가상자산거래소 전체의 신뢰도를 흔드는 사건이다. 다른 거래소들도 현황을 파악하고 있다. 반드시 개선이 필요한 부분"이라고 강조했다. 다만 오지급에 따른 일부 투자자들의 시세 변동에 따른 피해와는 별개로, 빗썸으로부터 비트코인을 받고도 반환하지 않고 현금화한 고객들에게는 명백한 '부당이득'이라며 법적 책임을 질 수 있다는 점도 언급했다. 이 원장은 "오지급과는 별개로 이벤트는 1인당 2000원이라는 당첨금이 정확하게 고시됐다"며 "따라서 비트코인을 받은 부분은 분명히 부당이익 반환 대상이라며 당연히 법적 분쟁(민사)으로 가면 받아낼 수 있다. 원물 반환이 원칙"이라고 덧붙였다. 빗썸이 보유한 비트코인은 지난해 9월 기준 자체 보유 175개와 고객 위탁 4만2619개 등 총 4만2794개에 불과하다. 14배가 넘는 62만개의 비트코인이 오지급 됐다는 점을 감안하면 58만개에 달하는 '유령' 비트코인이 지급된 셈이다. 이는 비트코인 거래시 실제로 코인이 블록체인상 거래되는 것이 아니라 우선 거래소 내부 장부에서 숫자만 바뀌는 이른바 '장부거래' 구조로 인해 가능하다. 이는 빠른 거래와 수수료 절감 등을 위한 구조로 장부거래 자체가 불법은 아니다. 문제는 빗썸이 존재하지 않는 가상자산이 지급되는 사태를 막기 위한 보안장치를 마련하지 않았다는 점이다. 이 원장 역시 "어떻게 오지급이 가능했는지, 그렇게 지급된 코인은 존재하지 않는 '허상'임에도 어떻게 거래가 될 수 있었는지가 가장 큰 문제이며 정말 심각하게 보고 있다"고 지적했다. 빗썸은 이번 사태를 이벤트 담당 직원의 실수라는 입장이다. 또한 대다수 오지급 비트코인이 회수된 점과 피해가 발생한 고객에 대한 충분한 보상 등을 강조하고 있다. 이미 현금화된 것으로 알려진 30억원에 대해서도 고객 등과 회수를 논의중이라는 설명이다. 하지만 금융당국은 오지급 사태에 따른 강력한 제재를 예고하고 있다. 아직 디지털자산기본법이 입법을 준비중이지만, 현행 가상자산이용자보호법만으로도 과태료는 물론, 영업정지 등의 처분도 가능하다. 오지급으로 인한 파장이 빗썸의 가상자산거래소 운영 자체에도 심각한 영향을 미칠 수 있다. 이번 사태로 고객 자산에 위협을 가할 수 있는 내부통제 등의 문제가 발생할 경우 거래소 인허가권에 제한을 줄 수 있는 조항을 디지털자산기본법에 포함해야 한다는 여론이 커졌기 때문이다. 이 원장은 "일단 장부거래 등의 정보 시스템은 반드시 개선이 필요하다"며 "아울러 디지털기본법이 통과되면 이런 문제가 발생했을 경우 인허가권에 대한 리스크가 발생해야 한다는 문제의식도 가지고 있다"고 강조했다. 이어 "현재 조사가 진행중이기에 이번 사태에 대한 구체적인 언급은 어렵지만 결과에 따라, 위법성이 있는 사안이 확인되면 강하게 대응하겠다"고 덧붙였다. peterbreak22@newspim.com 2026-02-09 18:14