이통사 해킹에…수천만 국민들만 '울화통'

2012년 KT 873만건 시작, 2024년 SKT 전 고객 피해
LGU+ 30만건 유출, 원인조차 끝내 규명 못 해

사진=연합뉴스

이동통신사를 겨냥한 해킹 사례가 반복되고 있다.

12일 통신업계에 따르면 지난 10여년간 SK텔레콤, KT, LG유플러스 등 주요 통신사는 해커들의 주요 표적이 되면서 수천만건의 고객 정보를 외부로 유출 당했다.

먼저 KT는 2012년 영업 시스템 전산망이 해킹당해 가입자 873만여명의 개인정보가 유출됐다. 유출된 정보에는 이름, 휴대전화번호, 주민등록번호, 사용 단말기 모델, 요금제, 요금액, 기기 변경일 등이 포함됐다.

2014년에는 해커 일당이 신종 해킹 프로그램을 개발해 KT 홈페이지 가입 고객 1600만명 중 1200만명의 고객정보를 탈취해 휴대전화 개통·판매 영업에 활용하기도 했다.

이들은 2013년 2월부터 1년간 신종 해킹 프로그램을 이용해 KT 홈페이지에 로그인한 후 1200만명의 개인정보를 빼낸 것으로 조사됐다. 해커들은 빼돌린 고객정보로 1만1000여 대의 휴대전화를 판매해 115억원의 매출을 거두고 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점에 불법 유통한 것으로 드러났다.

LG유플러스는 2023년 1월 해킹으로 약 30만건의 고객 정보가 불법 거래 사이트로 유출됐다. 유출된 정보는 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·유심(USIM) 고유번호 등 26개 항목에 달했다. LG유플러스는 이 책임으로 개인정보보호위원회로부터 과징금 68억원과 과태료 2700만원 등을 부과받았지만, 유출 원인은 결국 밝혀지지 않았다.

가장 최근인 올해 4월에는 SK텔레콤에서 사실상 고객 전체인 2324만4000여명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 유출됐다. 해커는 2021년 8월부터 SK텔레콤 내부망과 통합고객인증시스템 등에 악성 프로그램을 설치해 올해 4월 18일 홈가입자서버(HSS) 데이터베이스에 저장된 이용자 전체의 개인정보를 외부로 유출했다.

SK텔레콤은 2022년 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않은 것으로 드러나 질타받았다. SK텔레콤은 이 사건으로 개보위 역대 최대 규모인 1348억원을 부과받았으나 현재까지도 해킹의 배후는 추측만 무성할 뿐이다.

전문가들은 이통사가 전 국민을 고객으로 둔 만큼 보유한 정보가 방대해 해커 입장에서는 최고의 먹잇감이라고 지적한다. 한 보안업계 전문가는 "굵직한 사건이 알려졌을 뿐 이통사도 미처 인지하지 못하고 지나간 해킹은 훨씬 더 많을 것"이라며 "날로 발전하는 해커들의 공격 수준을 뛰어넘는 보안 체계를 갖추고 지속해 업그레이드해야 한다"고 말했다.

이송렬 한경닷컴 기자 yisr0203@hankyung.com