공유하기

LG유플러스, 통신사 해킹 '아직일까' vs '못 뚫었을까'

등록 2025.09.23 08:19:16 수정 2025.09.23 08:19:28
크게보기

SKT·KT 잇단 보안사고…투자·인력 확대에도 허점 노출
홍관희 전무 중심 LGU+, 현재까진 상대적으로 안정세

[FETV=신동현 기자] 통신사들의 보안이 연이어 뚫리는 가운데 LG유플러스는 최후의 보루로 남을까. SK텔레콤과 KT가 데이터 암호화와 장비 관리 미비로 지적을 받는 가운데 LG유플러스는 암호화를 진행했고 펨토셀(소형기지국)은 통신사들 중에선 가장 적은 비율의 미작동 비율을 기록하고 있는 것으로 나타났다.

 

◇SKT·KT, 데이터와 장비 관리 미비 드러내

 

통신사 보안 위협의 시작은 SK텔레콤이었다. SK텔레콤은 지난 4월에 대규모 정보가 유출되는 해킹 사건이 발생했다. 당시 해킹으로 인해 총 2696만건의 개인정보가 유출됐다. 전화번호, 국제이동가입자식별번호(IMSI), 단말기 식별번호(IMEI) 등 25종에 이르는 핵심 정보가 포함됐다. 개인정보보호위원회는 조사 과정에서 SK텔레콤이 핵심 정보(Ki) 미암호화: 유심 복제에 사용될 수 있는 핵심 정보를 암호화하지 않고 평문으로 보관했고 평문으로 저장된 계정정보: 수천 개의 서버 계정정보를 암호화 없이 저장하여 해커의 내부망 침투를 용이하게했다는 점을 들었다. 이를 토대로 개보위는 SK텔레콤에 1349억원의 과징금을 부과했고 이는 역대 최대 규모의 과징금이었다.

 

KT는 아직까지도 진행 중이다 8월 5일부터 첫 피해가 발생한 이후 수도권을 중심으로 확산됐다. 공식 피해 신고는 8월 26일부터 접수됐다. 이후에도 피해 신고가 급증하자 경찰은 9월 1일과 2일, KT에 두 차례에 걸쳐 피해 사실을 통보했지만 KT는 3일 뒤인 9월 5일 새벽에 비정상적인 결제 패턴을 차단하는 조치를 취했다

 

KT는 사건이 언론을 통해 확산된 9월 8일에야 한국인터넷진흥원(KISA)에 ‘사이버 침해 사실’을 신고했다. 9월 10일 기준 과학기술정보통신부는 무단소액결제 발생 건수 527건, 피해액 1억7000만원으로 공식 발표했다. KT도 불법 초소형 기지국(펨토셀)을 통한 국제이동가입자식별번호(IMSI) 유출 정황을 인정했고 11일에는 김영섭 대표가 기자회견을 열어 공식적으로 사과했다.

 

9월 16일에는 중국 국적의 남성 2명을 정보통신망법 위반 및 컴퓨터 등 사용 사기 혐의로 검거했고 이들은 이동수단에 소형 기지국을 싣고 다니며 범행했다고 진술했으며 경찰 조사에서 '중국에 있는 윗선의 지시'를 받았다고 시인했다.

 

21일 기준으로 현재 KT는 기존 상품권 소액결제 피해 외에도 교통카드 등 다른 유형의 소액결제 피해 사례가 추가로 나오며 피해 고객 수는 당초 278명에서 362명으로 늘었고 누적 피해액은 2억4000만원으로 집계됐다.

 

또 불법 초소형 기지국 ID 2개 외 2개의 ID를 더 확인했고 총 2만명이 4개의 불법 초소형 기지국 신호를 수신한 것으로 파악됐다. 해당 기지국 ID를 통해 국제이동가입자식별정보(IMSI)와 국제단말기식별번호(IMEI), 휴대폰 번호가 유출된 정황도 추가로 확인된 상황이다.

 

 

◇보안투자 늘린 통신3사…LGU+는 아직 무난

 

LG유플러스도 2023년 약 30만명의 인적사항과 유심 고유번호 등 개인정보가 유출되는 사고를 겪었다. 정부는 침입차단시스템과 이상행위 탐지 기능 미비, 고객인증시스템 관리 소홀 등을 이유로 68억원의 과징금과 2700만원의 과태료를 부과했다.

 

LG유플러스는 사고 직후 정보보호백서를 발간하며 정보보호체계 개편을 예고했다. 정보보안 및 개인정보보호 분야에서 10년 이상 경력을 쌓은 홍관희 전무를 CISO(정보보호최고책임자)로 선임하고 정보보안센터를 CEO 직속으로 격상했다. 조직도 기존 3개 팀에서 11개 팀으로 확대했다. 인력은 2022년 117명에서 2023년 157명, 2024년에는 292명으로 늘었고 정보보호 투자 규모도 2022년 이후 꾸준히 증가해 2023년 632억원에서 2024년에는 829억원으로 확대됐다.

 

다만 SK텔레콤과 KT 역시 보안 인프라 강화에 더 많은 자원을 투입해왔다. SK텔레콤은 2023년 600억원, 2024년 652억원을 투자했으며 자회사 SK브로드밴드까지 합치면 각각 873억원, 930억원에 달한다. 인력 규모도 SK텔레콤과 SK브로드밴드를 합쳐 342명(2023년), 337명(2024년)을 유지했다.

 

KT는 전담 인력은 2023년 336명에서 2024년 290명으로 줄었지만 2023년 1218억원, 2024년 1250억원을 정보보호에 투입하며 통신사들 중에서 가장 많은 규모를 정보보호에 투자했다.

 

거버넌스 측면에서는 SK텔레콤은 지난 8월에 들어서야 CISO 조직을 CEO 직속으로 격상했다. KT도 CEO 직속 하에 정보보호조직 기구를 뒀지만 실제 사건 대응 과정에서 부서 간 협력과 소통 부족을 드러내며 대응체제에 허점을 보였다.

 

한편 SK텔레콤의 보안에서 가장 문제가 됐던 개인정보 미암호화의 경우 LG유플러스에선 이미 암호화 작업을 진행했다. LG유플러스는 2011년부터 유심인증번호를 암호화하는 작업을 실시했다. KT는 2014년에 암호화를 진행했다.

 

KT 무단 소액결제 사건에서 가장 화두가 된 펨토셀(소형기지국) 관리의 경우 LG유플러스는 통신사들 중에서 미작동 상태 비율은 가장 적은 것으로 드러났다. 업계에 따르면 SK텔레콤, KT, LG유플러스가 운영 중인 펨토셀 19만5000대 가운데 6만4000대가 미작동해 신호가 잡히지 않는 것으로 확인됐다. 그 중 KT의 펨토셀은 전체 15만7000대 중 5만7000대, LG유플러스는 2만8000대 중 4000대, SK텔레콤은 1만대 중 3000대가 미작동 상태인 것으로 나타났다. 비율로 따지면 각각 36.3%, 14.2%, 30% 수치다.

 

정리하자면 SK텔레콤과 KT는 LG유플러스보다 더 많은 규모의 금액과 인력을 정보보호에 투입했지만 암호화 미비와 장비 관리 허점에서 취약점을 드러냈다. LG유플러스는 2023년 이후 거버넌스 강화와 정보보호투자를 확대하며 현재까지 암호화·펨토셀 관리 등에서 상대적으론 양호한 상태를 보이고 있다.



신동현 기자 tlsehdgus735@fetv.co.kr
Copyright @FETV 무단전재 & 재배포 금지

LOGO

창닫기
PC버전으로 보기

제호: FETV | 법인명: ㈜뉴스컴퍼니 | 등록및발행일: 2011.03.22 | 등록번호: 서울,아01559 | 발행인·편집인: 김대종 | 주소: 서울특별시 마포구 월드컵북로 59 레이즈빌딩 5층 | 전화: 02-2070-8316 | 팩스: 02-2070-8318 Copyright @FETV. All right reserved. FETV의 모든 컨텐츠는 저작권법의 보호를 받으며, 무단 복제 및 복사 배포를 금지합니다.