프랙 보고서가 폭로한 국가 안보 굴욕
차악의 선택 강요받는 통신 시장
 |
| 서울 시내의 한 KT 대리점. (사진=연합뉴스) |
[알파경제=이준현 기자] 국가 기간통신사 KT가 펨토셀 해킹 사태로 위약금을 면제한 지 나흘 만에 5만2661명이 떠났다.
이탈자 10명 중 6명은 8개월 전 유심 해킹을 당한 SK텔레콤을 선택했다.
소비자들이 '더 안전한 곳'이 아닌 '덜 불안한 곳'을 찾아 떠나는 이러한 현상은, 통신 3사 모두가 보안 사고에서 자유롭지 못한 국내 통신 시장의 구조적 모순을 적나라하게 보여준다.
◇ '2주 골든타임' 안에 쏟아진 5만 명…SKT로의 차악 선택
KT는 정부 권고에 따라 지난해 12월 31일부터 올해 1월 13일까지 2주간 위약금 전액 면제를 시행했다.
이틀 뒤인 1일부터 실제 해지가 시작됐고, 나흘간(12월 31일~1월 3일) 5만2661명이 KT를 떠났다.
첫날인 지난해 12월 31일 1만142명이 빠져나간 데 이어, 올해 1월 1~2일 이틀간 2만1492명이 추가로 이탈했다. 주말인 3일 하루에만 2만1027명이 떠나며 일일 최대 이탈 기록을 세웠다.
이탈자들의 행선지는 다소 역설적이다. 전체의 61.4%(3만2336명)가 SK텔레콤으로 향했기 때문이다. SKT 역시 지난해 4월, 2700만 명의 유심 정보가 유출되는 사상 초유의 해킹 사고를 겪은 곳이다.
이는 소비자들이 완벽한 '안전'을 찾기보다, '그나마 사고의 충격이 잦아든 곳'을 택하고 있음을 시사한다.
SKT는 이탈 고객의 가입 연수와 멤버십 등급을 복원해주는 적극적인 재가입 유치 프로그램으로 반사이익을 노렸다.
반면 LG유플러스는 24.5%(1만2939명)의 선택을 받는 데 그쳤다. 최근 해킹 조사 과정에서 증거 서버를 무단 폐기했다는 의혹이 불거지며 신뢰가 바락으로 떨어진 탓이다. 알뜰폰으로 이동한 사용자는 14.0%(7386명)였다.
일부 유통 현장에서는 최신 아이폰에 48만 원의 불법 보조금을 싣는 등 혼란을 틈탄 과열 경쟁 조짐도 포착된다.
방통위의 자제 요청에도 불구하고, 현장에서는 '물 들어올 때 노 젓자'는 식의 약탈적 영업이 횡행하고 있다.
 |
| (사진=연합뉴스) |
◇ 10년 방치된 펨토셀, '평문 도청' 가능했던 보안 참사
이번 사태가 충격적인 이유는 피해 규모보다 허술한 보안 관리 실태에 있다.
정부 민관합동조사단은 지난해 12월 29일 최종 조사 결과에서 KT의 펨토셀 보안 관리가 총체적으로 부실했다고 결론지었다. 가정 내 음영 지역 해소를 위해 설치된 초소형 기지국 '펨토셀'은 해커들의 놀이터나 다름없었다.
KT는 동일 제조사의 펨토셀에 공통 인증서를 적용한 뒤, 유효기간을 10년으로 설정해 사실상 방치했다.
이로 인해 단말기와 코어망 사이에서 지켜져야 할 종단간 암호화(End-to-End Encryption)가 무력화됐다. ARS나 문자 인증 정보가 암호화되지 않은 '평문' 상태로 전송되어 해커가 손쉽게 들여다볼 수 있는 구조였던 것이다.
조사 결과 2만2227명의 국제이동가입자식별번호와 국제단말기식별번호, 전화번호가 유출됐다. 368명이 총 2억4300만 원의 무단 소액결제 피해를 입었다.
정부는 "전체 가입자가 문자와 음성 통화 도청 위험에 노출됐다"고 판단했으나, 로그 보관 기간이 짧아 실제 도청 여부는 확인하지 못했다.
더욱 심각한 것은 사후 조치마저 미흡했다는 점이다. 지난해 12월 독일 국제 보안 콘퍼런스에서 연구진은 보안 조치가 끝났다는 KT 펨토셀을 불과 30분 만에 뚫어냈다.
KT 내부 서버 94대에서는 103종의 악성코드가 발견됐고, 일부 감염 사실을 인지하고도 당국에 즉시 신고하지 않은 것으로 드러났다.
 |
| 김영섭 KT 대표이사가 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 위원 질의에 답하고 있다. (사진=연합뉴스) |
◇ '프랙 보고서'가 폭로한 안보 굴욕
이번 사태의 가장 뼈아픈 대목은 한국 정부가 자국 통신망이 뚫린 사실을 해외 해커 잡지를 통해 뒤늦게 알았다는 점이다.
지난해 8월, 미국의 저명한 보안 잡지 '프랙(Phrack)'은 한국 정부 기관과 통신사가 해킹당했다는 보고서를 공개했다. 화이트해커들이 공격자를 역해킹해 확보한 정보를 바탕으로 작성된 이 보고서는 우리 안보의 현주소를 적나라하게 보여주었다.
이들은 6월 16일 국군방첩사령부에, 7월 17일 한국인터넷진흥원과 통일부에 제보했지만 묵살됐다. 정부는 프랙 공개 2개월 후인 10월에야 해킹 사실을 인정했다.
보고서에 따르면 해커는 행정안전부의 온나라 시스템과 GPKI 인증서, 외교부 이메일, KT와 LG유플러스의 원격 제어 시스템 인증서를 탈취했다.
LG유플러스는 더 적극적인 증거인멸을 시도한 의혹을 받는다. 해킹 의심 통보를 받은 직후 관련 서버 2대 중 1대를 물리적으로 폐기했고, 나머지는 조사관 도착 전 운영체제를 초기화했다.
정부는 위계에 의한 공무집행방해 혐의로 경찰에 수사를 의뢰했다. 만약 입증된다면 국내 통신 역사상 가장 치욕적인 형사 사건으로 기록될 전망이다.
펨토셀 인증서를 10년간 방치한 것은 단순 실수가 아니라, 수익이 나지 않는 보안 투자를 외면한 경영의 결과물이다. 기본이 무너진 혁신은 사상누각에 불과하다는 진리가다시 한번 증명된 셈이다.
SK텔레콤이 지난해 해킹 당시 정부 발표 2시간 30분 만에 사과문을 낸 것과 달리, KT는 26시간이 지나서야 보상안을 내놨다. SKT가 56회 브리핑을 진행한 것과 달리, KT는 단 3회로 제한하며 소극적 태도로 일관했다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
