올해 SK텔레콤·KT·LG유플러스 등 이동통신 3사는 잇따른 해킹과 정보 유출 사고로 ‘보안 참사’라는 최대 위기를 맞고 있다. SK텔레콤과 KT는 최고경영자(CEO) 교체라는 초강수를 꺼내 들며 쇄신을 약속했고, 정부 역시 해킹과의 전쟁을 선포하며 통신 산업 전반의 신뢰 회복을 최우선 과제로 제시했다.
SK텔레콤은 지난 4월 발생한 사이버 침해 사고를 두고 “창사 이래 최대 위기”라고 평가했다. 이번 사이버 침해사고로 LTE‧5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 개인정보가 유출됐다. 유출된 정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종인 것으로 확인됐다.
김양섭 SK텔레콤 최고재무책임자(CFO)는 지난 10월 올해 3분기 경영 실적 발표 후 컨퍼런스 콜을 통해 “지난 6개월간 SK텔레콤은 창사 이래 가장 힘든 시간을 보냈다”라며 “많은 고객들이 떠났으며 재무적인 영향도 지속되고 있다”라고 말했다.
사이버 침해 사고의 여파는 실적 악화로 직결됐다. SK텔레콤은 분기 배당을 도입한 이후 처음으로 올해 3분기 배당을 실시하지 않았고, 결국 최고경영자(CEO) 교체까지 단행했다. 3분기 이동통신 매출은 전 분기 대비 약 5000억원 감소했다. 전 고객을 대상으로 8월 한 달간 시행한 통신요금 50% 할인과 멤버십 혜택 강화, 위약금 면제, 개인정보보호위원회가 부과한 1347억9100만원의 과징금도 부담으로 작용했다.
SK텔레콤은 올해 3분기 연결 기준 매출 3조9781억원, 영업이익 484억 원을 기록했다. 매출은 전년 동기 12.2% 감소했으며 영업이익은 90.9% 줄었다. 당기 순이익도 적자 전환해 1667억원의 순손실을 기록했다.
정재헌 신임 SK텔레콤 CEO는 지난 16일 취임 후 첫 타운홀을 열고 “품질‧보안‧안전 등 기본과 원칙을 핵심 방향으로 고객 신뢰를 빠르게 회복하자”라며 목표를 설정했다.
SK텔레콤 사태 이후 ‘안전’을 강조해 온 KT 역시 불과 5개월 만에 유사한 사고로 고개를 숙였다. KT는 지난 9월 1차 기자회견을 통해 초소형 기지국(펨토셀)을 사용한 무단 소액 결제 피해를 알렸고, 피해 고객 278명, 피해 금액 1억7000만원으로 집계했다.
그러나 2‧3차 기자회견에서는 총 362명, 2억4000여만원 상당의 피해를 입었으며 가입자(알뜰폰 포함) 총 2만30명의 가입자식별번호(IMSI)와 기기식별번호(IMEI), 휴대전화 번호가 유출된 정황을 확인했다고 밝혔다.
또 민관합동조사단 중간조사 결과에 따르면 KT는 BPF도어‧웹셸 등 악성코드에 감염된 다수의 서버를 발견하고도 이를 정부에 신고하지 않은 채 자체 삭제 조치로 침해 사실을 은폐한 것으로 파악된다. 일부 서버에는 성명, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 민감 정보가 저장돼 있었다. 이어 무단 소액결제 사고 피해자는 368명, 피해 금액은 2억4319만원으로 집계됐다.
현재까지 조사가 진행 중인 상황으로 국회에서는 영업정지, 위약금 면제 필요성을 제기했다. 개인정보위의 위약금 수위까지 고려하면 KT 해킹 사고는 실적에도 영향을 끼칠 가능성이 크다.
김영섭 KT 대표는 올해 국정감사에서 모든 책임을 지겠다며 임기 연장을 포기했다. KT 이사후보추천위원회는 지난 16일 박윤영 전 KT 기업부문장 사장을 차기 대표이사 후보로 확정했다. 이사회는 박 전 사장에 대해 “KT 사업 경험과 기술 기반 경영 역량을 바탕으로 DX·B2B 분야에서 성과를 거둔 인물”이라고 평가했다.
LG유플러스는 대규모 해킹 사고를 겪지 않았으나 개인정보 유출에 자유롭지 않다. LG유플러스는 지난 2일 오후 8시부터 3일 오전 10시59분까지 인공지능(AI) 통화앱 ‘익시오(ixi-O)’를 새로 설치하거나 재설치한 이용자 101명에게 가입자 36명의 △통화 상대방 전화번호 △통화 시각 △통화내용 요약 등을 유출했다.
LG유플러스는 이번 사고가 외부 해킹이 아닌, 익시오 서비스 운영 개선 과정에서 발생한 캐시(임시 저장 공간) 설정 오류 때문이라고 해명했다.
그러나 익시오는 고객 데이터가 서버에 저장되지 않는 ‘온디바이스 AI’ 기반 서비스로 홍보돼 왔다는 점에서 논란이 커졌다. 실제로 통화 음성과 전문은 서버에 저장되지 않지만, 통화 내역과 요약 정보는 서버에 최대 6개월간 저장된 것으로 확인됐다.
여기에 미국 보안 전문지 ‘프랙’은 LG유플러스 내부 서버 관리용 계정 권한 관리 시스템 소스코드와 데이터베이스, 서버 정보 등이 외부로 유출됐다는 의혹을 제기했다.
이에 과학기술정보통신부의 민관합동조사단이 조사를 진행한 결과, LG유플러스 측이 사고관련 서버를 폐기한 것으로 확인했다. 조사단은 고의성 입증을 위해 경찰청 사이버테러대응과 수사를 의뢰한 상황이다. 현재 서울경찰청 반부패수사대가 해당 의혹에 대해 수사 중이다.
통신 3사의 연속된 해킹 사고로 인해 보안 신뢰는 추락했다. 전문가들은 통신 3사의 AI 사업을 위해 신뢰 회복이 최우선 과제로 자리 잡아야 한다고 조언했다.
함유근 건국대 경영대학 교수(전 한국빅데이터학회장)는 “최고 경영자가 보안을 중요시한다고는 하나 실제 관심과 투자로 이어지지 않아 우려가 커지고 있는 것”이라며 “통신사들이 AI 사업을 시작하고 있기에 보안 수준은 차원이 달라져야 한다”라고 말했다.
이어 “통신사들은 데이터 보안에 대한 전략적인 접근과 최고 경영자의 의지‧관심 등으로 대중들을 설득해야 한다”라며 “보안을 최우선 전략 과제로 내세워야 할 시점”이라고 덧붙였다.
