| [편집자 주] ‘푸른 뱀의 해’로 불린 2025년 을사년, 국내 산업계는 급변하는 대내외 환경 속에서 크고 작은 변곡점을 지나왔다. FETV는 주요 산업별로 2025년 한 해를 관통한 핵심 키워드를 짚어보고, 각 업계가 어떤 선택과 변화를 겪어왔는지를 되돌아보고자 한다. |
[FETV=신동현 기자] SK텔레콤을 시작으로 쿠팡까지 해킹에 휘말리며 전국을 뒤흔들었다. SK텔레콤과 KT, 쿠팡 등 해킹 피해를 입은 회사들은 정보 관리 체계와 함께 거버넌스 등 조직과 대응 체계의 문제점을 보였다.
◇1월부터 11월까지 수천만명 개인정보 유출
연쇄 해킹의 징조는 GS리테일이었다. 당시 홈쇼핑 웹사이트의 158만명 분의 개인정보 유출이 발생했다.
4월 발생한 SK텔레콤 해킹은 통신 핵심 인프라가 침해된 초대형 사고였다. 해커는 2021년부터 장기간 잠복해 가입자 인증 서버(HSS)까지 침투했고 유심 정보 등 민감 데이터를 탈취한 것으로 조사됐다. 조사 과정에서는 리눅스 기반 백도어 등 33종의 악성코드가 발견됐으며 전체 서버 가운데 28대가 감염된 사실도 확인됐다.
6월에는 예스24가 랜섬웨어 공격을 받아 플랫폼이 전면 셧다운됐다. 도서 주문과 티켓 예매 등 주요 서비스가 마비됐고, 초기에는 단순 장애로 공지했다가 뒤늦게 해킹 사실을 인정하면서 대응의 적절성을 둘러싼 비판이 제기됐다.
8월에는 KT를 통해 금전 피해가 발생했다. 공격자들은 유출된 정보를 활용해 티머니 충전 등 소액결제를 시도했고, 약 2억4000만원의 피해가 발생했다. KT가 이를 단순 스미싱으로 오인하면서 초기 대응이 지연됐다는 지적도 나왔다.
연쇄 해킹의 정점은 11월 쿠팡 사태였다. 약 3370만 개의 계정 정보가 유출되며 사실상 전 국민 규모의 피해로 확대됐다. 비정상적인 접근이 시작된 이후 12일이 지나서야 침해 사실을 인지한 점에서 관제 체계의 한계가 드러났다는 평가다.
◇비밀번호 평문 저장에 구형 OS 등 허술한 정보관리
잇따른 사고의 원인은 고도화된 해킹 기술보다는, 기업 내부의 기본적인 보안 관리 미흡에 있었다는 분석이 지배적이다. 정부 합동 조사 결과, 국내 주요 IT 기업들의 보안 체계는 기본 수칙조차 제대로 지켜지지 않은 사례가 다수 확인됐다.
SK텔레콤은 핵심 서버의 계정 정보를 암호화하지 않은 채 평문으로 저장했고, 유심 복제와 직결되는 인증키역시 별도의 보호 조치 없이 보관한 것으로 드러났다. 접속 로그 또한 법정 기준인 6개월만 보관돼 초기 침입 경로를 추적하는 데 어려움을 겪었다.
KT는 보안 설계 단계에서 구조적인 취약점이 확인됐다. 납품된 펨토셀 장비 전반에 유효기간 10년짜리 동일 인증서를 적용해 인증서 하나만 유출돼도 내부망 전체가 침해될 수 있는 구조였다. 일부 테스트 환경에서는 결제 인증 정보가 암호화되지 않은 채 평문으로 전송되는 취약점도 발견됐다.
예스24와 쿠팡 역시 관리 부실이 피해 확대로 이어졌다. 예스24는 기술 지원이 종료된 ‘윈도 서버 2012’를 핵심 인프라에 사용하면서 랜섬웨어 공격에 취약한 상태였고, 쿠팡은 해외 IP의 대량 접속과 비정상 조회 패턴을 차단할 기본적인 탐지 체계가 제대로 작동하지 않았다.
◇늑장 대응과 보고 누락 등 조직 체계 부재
기업 내부의 보안 조직 구조와 의사결정 체계에서도 한계를 드러냈다. SK텔레콤은 사고 이전까지 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)를 한 사람이 겸직했고 정보보호 조직 역시 CEO 직속이 아닌 사업·기술 조직 산하에 배치돼 신속한 대처가 이뤄질 수 없는 구조였다는 설명이다. 또 2021년부터 2024년까지 반복적으로 포착된 이상 징후와 보안 리포트가 경영 레벨에서 충분히 문제화되지 못한 채 장기간 잠복 공격을 허용한 것으로 나타났다.
외부 협력사의 소프트웨어와 장비 도입 과정에 대한 검증 역시 미흡했다. 보안 관리가 개별 시스템 단위에 머물며, 조직과 공급망 전체를 포괄하는 거버넌스 체계로 확장되지 못했다는 평가다. 사고 이후 고객 안내와 유심 교체 방침 발표가 지연된 점도 초기 대응 논란으로 이어졌다.
KT 역시 대응 지연과 내부 소통 부재가 피해 확대로 이어졌다는 지적을 받았다. 9월 초 경찰로부터 무단 소액결제 정황을 통보받고도 내부망 차단은 9월 5일에야 이뤄졌으며 법정 의무인 ‘침해사고 24시간 이내 신고’도 지켜지지 않았다. 이후 추가 침해 흔적을 확인하고도 신고가 지연됐다.
이때 구재형 KT 네트워크기술본부장은 정부 브리핑에서 "서버 점검은 별도 진행 과제로 4개월간 진행했고, 소액결제와 상호 연결성이 없다 보니 어제 저녁에 그 내용을 알게 됐다"며 "브리핑 전에 이 사실을 아는 상황은 아니었다"고 해명하며 부서 간 소통이 전혀 되지 않았다는 걸 드러냈다.
특히 정부 조사 과정에서 KT가 2024년 3월부터 7월 사이 악성코드에 감염된 서버 43대를 발견하고도 신고 없이 자체 처리한 정황이 드러나 은폐 논란까지 불거졌다.
쿠팡 역시 최초 피해 규모를 4500건으로 공지했다가 열흘 만에 3370만건으로 정정하며 혼선을 빚었고 퇴사자 계정과 권한 관리 실패로 기본적인 보안 원칙이 무너졌다는 비판을 받았다.
여기에 피해 사실을 '유출'이 아닌 '노출'이라고 축소 발표하거나 김범석 의장이 국정감사와 청문회에 불출석하며 책임 회피 논란도 키웠다.
