北 '김수키'·中 해커, 정보·금전 노린 동시 공세
사이버 안보 구멍 드러난 한국…"3축 체계 필요"
"정부·기업의 정보보호 관리 체계 능력 부족했다"
올해 대한민국 사회와 국가 인프라는 '해킹공화국'이라는 오명을 면치 못하고 있다. 통신·금융·공공기관을 가리지 않고 연쇄적으로 터지는 해킹 사고는 단순한 정보 유출을 넘어 사회 전반의 신뢰를 무너뜨리고 있다. 피해는 수천만 명의 개인정보에 국한되지 않는다. 기업의 경쟁력, 금융 시스템의 안정성, 더 나아가 국가 안보의 근간까지 위협하고 있다. 그러나 대응은 여전히 땜질식에 머물고 있고, 유사한 사고가 반복되고 있다. 뉴스핌은 <해킹공화국> 기획을 통해 해킹 실태와 구조적 원인을 짚어보고, 제도적·정책적 대안을 모색한다.
[서울=뉴스핌] 조승진 기자 = 지난 17일 경기 광명·서울 금천 일대에서 발생한 KT 휴대전화 소액결제 피해 사건의 핵심 용의자인 중국교포 2명이 경찰에 붙잡혔다. 경찰은 이들 배후에 중국의 해킹 조직이 있을 것으로 보고 있다. 지난 8월에는 북한 해커 그룹으로 추정되는 '김수키'가 KT, LG유플러스와 한국 주요 정부 기관에 지속적으로 해킹 공격을 가했다는 내용이 보도됐다.
[해킹공화국] 글싣는 순서
1. "보안 없는 AI 강국은 사상누각"…기업을 넘어 국가 안보 위기
2. KT·SKT·롯데카드…4월 이후 매달 해킹 사고
3. 창과 방패의 끝없는 전쟁…北·中 등 해킹에 韓 사이버 안보 '구멍'
4. 사모펀드식 경영 책임론…제2 롯데카드 사태 나올까, 금융권 '초비상'
5. 보안 투자 여력 없는 중기·스타트업, 해킹 사각지대 막아야
6. 과징금 높이고, 개별통지 의무화…해킹방지법 다각도 논의 중
7. 보안 선진국들은 해킹에 어떻게 대처하나
25일 뉴스핌 취재를 종합하면 이번 사건은 해커들이 최신 기술을 악용해 공격 수법을 한층 정교하게 발전시키고, 기업과 기관은 안일한 대응으로 일관해 피해를 키웠다.
 |
| 23일 더불어민주당 노종면 의원실이 경찰에서 제출받은 자료에 따르면 KT는 지난 1일 경찰에게 무단 소액결제 사건에 대한 연락을 받고 담당 부서 '뺑뺑이'를 돌리면서 21시간이 지난 뒤에야 피해 확인에 나섰다. [사진=뉴스핌 DB] |
◆ 북·중 해커 먹잇감 된 한국 통신망…KT "유출 없다" 해명 일주일 만에 번복
KT 소액결제 범죄를 일으킨 중국 교포는 수도권 일대에 초소형 기지국 '펨토셀'을 설치해 KT 가입자들의 개인정보를 빼내고, ARS 인증 절차를 무력화해 소액결제를 몰래 진행했다.
피해 규모는 362명·2억4000만원 가량이다. 당초 피해 지역은 경기 광명·서울 금천으로 한정됐지만, 이후 서울 서초·동작, 경기 고양 일산동구까지 피해가 발생한 것으로 확인됐다. 현재까지 추가 피해 신고가 이어지고 있어 앞으로 피해 규모는 더 늘어날 가능성이 크다.
KT는 4일 개인정보 유출에 대한 의혹을 전면 부인했지만 10일 가입자 5561명의 식별번호(IMSI) 유출 가능성을 발표했다. 이어 18일에는 불법 기지국 신호 수신 고객 2만명 30명의 단말기고유식별번호와 휴대전화 번호 유출 정황이 있다고 밝혔다.
하지만 지난 8월 미국의 보안 전문지 프랙(Phrack)은 이 같은 해킹 의혹을 먼저 제기한 바 있다. 프랙은 김수키가 KT, LG유플러스와 한국 주요 정부 기관에 지속적으로 해킹 공격을 가했다고 주장했다. 김수키가 KT 웹서버 보안 인증서, LG유플러스 내부 서버 계정 정보, 직원 정보 등을 보유하고 있다고도 했다.
프랙이 제기한 해킹 의혹과 최근 불거진 무단 소액결제 사건은 표면적으로는 별개의 사안이지만, KT의 보안 취약점을 파고든다는 점에서 맞닿아 있다.
염흥열 순천향대 정보보호학과 교수는 "KT는 통신망 인프라 보안이 허술했다"며 "가짜 유령 펨토셀 기지국이 KT 코어망에 접속한 것은 네트워크 보안의 굉장한 문제"라고 지적했다.
전문가들은 해킹 범죄가 돈을 노리는 것뿐 아니라 정보 탈취, 정치적 계산 등이 내포된 것이라고 했다. 실제 우리 정부는 지난 2023년 6월 2일 김수키를 세계 최초로 독자 대북 제재 대상으로 지정했는데, 김수키가 외교·안보·국방 등 분야에서 개인·기관으로부터 첩보를 수집해 이를 북한 정권에 제공한다는 판단에 따른 것이었다.
2014년부터 활동한 것으로 알려지는 김수키는 올해 7월에도 챗GPT로 합성한 이미지를 활용해 군 관계 기관에 스피어 피싱(특정 개인·조직을 표적화한 사이버 공격)을 시도했다.
 |
| 미국의 보안 전문지 프랙(Phrack)은 지난 7월 보고서를 통해 북한 해킹 조직 '김수키'로 추정되는 그룹의 서버에서 KT·LG유플러스 등 국내 통신사와 정부 부처의 데이터가 발견됐다고 밝혔다. [사진=뉴스핌 DB] |
◆ 해킹범죄, 딥페이크·가짜 도메인 활용…"사이버 보안에도 '3축 체계' 필요"
보안 전문 기업 지니언스의 시큐리티 센터(GSC)에 따르면 김수키는 실제 군인 신분증처럼 보이는 딥페이크 이미지를 제작해 이메일에 첨부하고, 발신 주소는 실제 군 기관 도메인처럼 '.mli.kr'로 위장했다. 이메일은 악성 프로그램이 담긴 피싱 메일이었다. 피싱 메일은 사용자가 클릭할 경우 정보 유출 위험에 노출된다.
염 교수는 "정치적 목적이나 금전을 노리는 해킹이 발생한다면 각각 그 해커들의 공격 능력에 맞는 정보보호 관리 체계를 구축하고 운영해야 한다"며 "전반적으로 우리나라 사이버 공간에 연결된 정부, 기업의 정보보호 관리 체계 능력이 부족했다"고 비판했다.
같은 날 김승주 고려대학교 정보보호대학원 교수는 국회에서 열린 해킹 청문회에서 "국정과제에 국방 분야에서 미사일을 쏘기 전에 탐지하고, 방어하고, 원천 무력화시키는 '3축 체계'라는 게 있다"며 "사이버 보안 분야에서도 3축 체계를 어떻게 만들지 국회에서도 고민해달라"고 강조했다.
이어 "해외에서는 기업이 피해 확산이 되지 않도록 노력하면 처벌을 낮춘다"며 "외국 기업은 처벌을 경감받기 위해 최대한 상세한 보고서를 작성하는데, 이런 부분을 우리도 체계화시켜야 한다"고 제안했다.
또 "우리나라의 보안 문제가 심각해진 것은 코로나 시절부터"라며 "코로나 시절에 업무용 PC가 인터넷에 연결되기 시작됐고, AI 정책이 도입되면서 연결이 확대돼 망을 끊어놓은 상태, 즉 무균실 같은 공간에 한 번 공격이 들어오니 속절없이 무너지는 것"이라고 지적했다.
이 외에도 김 교수는 ▲통신장비의 보안성 평가 대상 포함 ▲로그기록 보존 ▲국제 공조 개선 등의 보안 체계 개선 방안 등이 필요하다고 강조했다.
chogiza@newspim.com
