한국정보기술진흥원
한국정보기술신문
thumbnail

태그 없음

KT·LGU+, 내부 자료 유출에도 "해킹 아니다"…조사 막는 '법적 공백'

발행일
읽는 시간5분 59초

美 해킹 전문지 '프랙' 통해 통신사·정부기관 기밀 유출 정황…과기정통부 "침해사고 잠정 결론"에도 기업들 자진신고 거부로 강제조사 불가

[한국정보기술신문] KT와 LG유플러스가 국가적 사이버 보안 논란의 중심에 섰다. 세계적인 해킹 전문지를 통해 내부 기밀 자료가 유출된 정황이 드러났지만, 양사가 이를 ‘해킹 침해사고’로 공식 신고하는 것을 거부하면서 정부의 정밀 조사가 사실상 중단되는 초유의 사태가 벌어졌다. 기업이 현행법의 허점을 이용해 조사를 회피하는 동안, 국가 핵심 통신망의 보안 공백과 추가 피해 우려가 커지고 있다.

정부 "명백한 침해사고" 잠정 결론

지난 8월, 세계에서 가장 오래된 해킹 전문지 '프랙 매거진(Phrack Magazine)' 40주년 기념호에 'APT Down: The North Korea Files'라는 제목의 보고서가 공개되며 파문이 시작됐다. 익명의 화이트해커가 제보한 이 보고서에는 국내 주요 기관과 기업에서 유출된 것으로 보이는 8GB 분량의 데이터 목록이 담겨 있었다. 여기에는 KT와 LG유플러스의 내부 정보는 물론, 행정안전부, 외교부 등 정부 부처의 민감 정보까지 포함된 것으로 알려졌다.

사태의 심각성을 인지한 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 즉시 조사에 착수했다. 양사에 현장점검을 실시하고 관련 자료를 제출받아 정밀 포렌식 분석에 들어갔다. KISA는 분석을 통해 KT의 SSL 인증서 개인키와 LG유플러스의 내부 서버 관리용 소스코드 및 계정 정보 등이 외부로 유출된 사실을 확인했다. 이를 근거로 KISA는 "외부로 중요 정보가 유출된 것은 명백한 침해사고"라는 '잠정 결론'을 내렸다. 정부는 침해사고가 최종 확인될 경우 투명하게 공개하겠다는 입장을 밝혔다.

통신사 "침투 흔적 없다" 반박

그러나 KT와 LG유플러스는 정부의 잠정 결론에 정면으로 반박했다. 양사는 정부 조사에 협조하고 있다는 원론적인 입장을 밝히면서도, 자체 점검 결과 "해킹 침투 흔적은 없었다"며 침해사고 신고를 거부했다.

KT는 "문제가 된 보안인증서는 KT망 내부에서 유출된 것이 아니다"라고 선을 그었다. LG유플러스 역시 "현재까지 침해 정황이 발견되지 않았다"고 주장했다. 이는 단순한 사실 부인이 아닌, 법적 책임을 회피하기 위한 고도로 계산된 전략적 대응으로 분석된다. 현행법상 정부가 민관합동조사단을 꾸려 기업 서버에 대한 강제 조사를 진행하려면 기업의 '자진신고'가 필수적이다. 양사는 '데이터가 유출된 사실'은 부정하지 않으면서도, '외부 공격자에 의해 네트워크가 뚫린 것은 아니다'라는 논리를 내세우고 있다. 이를 통해 침해사고 신고 의무를 피해 막대한 과징금과 고객 이탈, 기업 이미지 실추 등 후폭풍을 최소화하려는 의도로 풀이된다.

의혹의 출처와 신뢰성

이번 사태의 발단이 된 '프랙 매거진'은 1985년 창간된 세계 최고(最古)의 해킹 전자잡지로, 전 세계 해커와 보안 연구자 커뮤니티에서 높은 권위를 인정받는다. 특히 이번 보고서는 세계 최대 해킹 콘퍼런스인 '데프콘(DEFCON)'에서 배포되어 그 내용에 무게가 실렸다. 단순한 다크웹 유출이 아닌, 공신력 있는 채널을 통한 공개였기에 정부와 해당 기업들이 외면할 수 없는 사안이 된 것이다.

유출된 정보의 심각성

보고서를 통해 유출된 데이터의 내용은 충격적이다. 단순 개인정보를 넘어, 국가 통신 및 보안 인프라의 근간을 흔들 수 있는 핵심 정보들이 포함되었기 때문이다.

  • LG유플러스: 내부 서버 관리에 사용되는 APPM(Application Performance Management) 솔루션의 소스코드와 데이터베이스 정보가 유출됐다. 해당 정보에 대한 접근 기록이 올해 4월까지 남아있었던 것으로 확인됐다. 소스코드가 유출되면 시스템의 취약점을 분석해 더 깊고 지속적인 공격을 감행할 수 있는 경로를 열어주는 셈이다.
  • KT: 외부 통신을 암호화하는 데 사용되는 SSL(Secure Sockets Layer) 인증서와 개인키 파일이 유출된 정황이 포착됐다. 유출 당시 해당 인증서는 유효한 상태였으며, 만약 공격자가 이를 악용했다면 통신 내용을 감청하거나 KT 서버를 사칭한 피싱 사이트를 제작해 추가적인 금융 피해를 유발할 수 있었다.
  • 정부 기관: 통신사뿐만 아니라 외교부 등 일부 정부 부처에서 사용하는 웹메일 시스템의 소스코드, 정부 공인인증체계(GPKI) 관련 문서 및 인증서 파일 등도 유출 목록에 포함됐다. 이는 국가 행정망 전체의 신뢰도를 위협할 수 있는 매우 심각한 보안 사고다.

초기 용의선상 '김수키'

보고서의 제목과 북한이 배후인 해킹 그룹들의 기존 활동 패턴 때문에, 이번 공격의 배후로 북한 정찰총국 산하의 '김수키(Kimsuky)'가 유력하게 지목됐다. 김수키는 오랫동안 한국의 정부 기관, 국방, 통일, 외교 분야를 집중적으로 공격해 온 조직으로 잘 알려져 있다.

S2W의 분석, "배후는 중국어 사용 환경"

하지만 국내 사이버 보안 기업 S2W의 위협 인텔리전스 센터 '탈론(TALON)'이 유출 데이터를 정밀 분석한 결과, 기존의 추정을 뒤집는 새로운 증거들이 발견됐다. S2W는 보고서에 등장하는 공격자 'KIM'(자체 식별명 UNSI-018)이 북한의 김수키와 직접적인 연관이 없을 가능성이 높다고 결론 내렸다.

그 근거는 공격자의 '디지털 흔적'에 있었다.

  • 사용 환경: 공격자는 바이두(Baidu), CSDN(중국 IT 개발자 커뮤니티), 빌리빌리(Bilibili) 등 중국 플랫폼을 번역 없이 자유롭게 사용했다. 반면, 비(非)중국어권 정보는 구글 번역을 통해 간체 중국어로 변환해 사용한 흔적이 발견됐다.
  • 클라우드 서비스: 중국 신분증이나 여권 등 신원 인증이 필요한 '바이두 클라우드'를 사용한 사실이 확인됐다. 이는 공격자가 인증된 중국 계정에 접근할 수 있었음을 시사한다.
  • 언어: 유출된 데이터셋 내부의 소스코드 주석이나 개인 문서들이 중국어로 작성되어 있었다.
  • 공격 도구: 공개용 피싱 도구인 '이블고피시(evilgophish)'를 사용했는데, 이는 김수키의 기존 공격 방식과는 차이가 있다.

이러한 분석은 사이버 공격의 배후를 지목하는 것이 얼마나 복잡하고 신중해야 하는지를 보여준다. 초기 보도와 달리, 공격의 배후가 중국과 연관되었을 가능성이 제기되면서 사건은 새로운 국면을 맞이하고 있다.

반복되는 참사: KT와 LGU+의 부실한 보안 역사

이번 유출 사태가 더욱 비판받는 이유는 일회성 사고가 아니라, 두 통신사의 고질적인 보안 불감증이 낳은 예견된 인재(人災)에 가깝기 때문이다.

KT: "세계 최고 수준 보안" 약속은 어디에

KT는 과거에도 대규모 개인정보 유출 사고를 반복적으로 겪었다. 2012년에는 해킹으로 가입자 873만 명의 정보가 유출됐고, 불과 2년 뒤인 2014년에는 더욱 심각한 해킹으로 1,200만 명의 고객 정보가 털려나갔다. 당시 KT는 "세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다"고 대국민 사과까지 했지만, 그 약속은 공허한 메아리가 되었다. 피해자들이 제기한 손해배상 소송 대부분이 최종적으로 기각되면서, 기업이 보안 투자를 강화할 실질적인 유인이 부족하다는 비판도 제기됐다.

LGU+: 4년 연속 법규 위반과 역대급 과징금

LG유플러스의 상황도 다르지 않다. 2023년 초, 해커의 공격으로 약 30만 명에 달하는 고객 정보가 유출되는 사고가 발생했다. 이 사건으로 개인정보보호위원회로부터 국내 기업 역대 최고 수준인 68억 원의 과징금을 부과받았다. 더욱 심각한 것은 LG유플러스가 2019년 이후 4년 연속으로 개인정보보호법 위반으로 제재를 받았다는 사실이다. 이는 기업의 보안 체계에 구조적인 문제가 있음을 방증한다.

image.png
한국정보기술진흥원에서 조사한 피해 요약

기업의 '방패'가 된 법적 허점

이번 사태로 드러난 가장 큰 문제는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)의 구조적 허점이다. 현행법 제48조의3은 정보통신서비스 제공자에게 침해사고 발생 시 과기정통부나 KISA에 신고할 의무를 부과한다. 하지만 정부가 기업 내부 서버 접속 등 강제성 있는 조사를 포함하는 '민관합동조사단'을 구성하기 위해서는 기업의 자진신고가 전제되어야 한다.

KT와 LG유플러스는 바로 이 점을 파고들었다. 침해사고로 '잠정 결론'이 났음에도 "자체 점검 결과 침투 흔적이 없다"며 신고를 거부함으로써, 정부의 조사 권한을 무력화시킨 것이다. 기업의 비협조 앞에 국가 사이버 안보 대응 체계가 멈춰서는 법적 공백이 현실로 드러난 셈이다.

국회 "강제 조사권 부여 법 개정 추진"

이러한 상황에 대해 국회는 강하게 질타하며 법 개정을 예고했다. 국회 과학기술정보방송통신위원회 최민희 위원장은 "KT와 LG유플러스는 꼼수로 모면하려 하지 말고 자진신고를 통해 민관합동조사단 조사를 받아야 한다"고 촉구했다. 더 나아가 기업이 자진신고를 거부하더라도 정부가 직권으로 조사에 착수할 수 있도록 하는 강제 조사권 부여를 골자로 한 정보통신망법 개정안을 추진하겠다고 밝혔다. 이번 사태가 국가 사이버 보안 대응 체계의 근본적인 수술로 이어지는 계기가 될지 주목된다.

흔들리는 국가 사이버 안보: 전망과 과제

이번 KT, LG유플러스의 정보 유출 및 조사 거부 사태는 단순한 두 기업의 보안 사고를 넘어 대한민국 전체의 사이버 안보 체계에 심각한 경고음을 울리고 있다.

국가 기간 통신사업자에 대한 국민의 신뢰는 이미 바닥으로 추락했다. 반복되는 유출 사고에도 불구하고 책임을 회피하려는 기업의 태도는 공분을 사고 있다. 유출된 정보가 통신망 인프라와 관련된 핵심 정보라는 점에서 스미싱, 금융사기 등 2차 피해는 물론, 국가 안보를 위협하는 정교한 스파이 활동으로 이어질 가능성도 배제할 수 없다.

만약 두 통신사가 법적 허점을 이용해 끝내 정밀 조사를 피하게 된다면, 이는 매우 위험한 선례를 남기게 된다. 다른 기업들 역시 보안 사고 발생 시 투명한 공개와 책임 대신 법적 대응을 통한 회피를 우선시하게 될 것이다. 이는 국내 기업 전반의 보안 수준을 후퇴시키고, 외부 공격자들에게는 대한민국이 '공격하기 좋은 나라'라는 잘못된 신호를 줄 수 있다.

결국 해법은 명확하다. 기업의 자진신고에만 의존하는 현행법을 시급히 개정하여 정부의 실질적인 조사 권한을 보장해야 한다. 동시에 기업에는 '보안은 비용이 아닌 투자'라는 인식을 확립하고, 사고 발생 시 책임을 회피하는 것이 아닌 투명하게 공개하고 재발 방지 대책을 마련하는 문화를 정착시켜야 한다. 이번 사태는 대한민국의 디지털 방어 능력이 중대한 시험대에 올랐음을 보여주고 있다.

한국정보기술신문 정보보안분과 최준용 기자 news@kitpa.org