봄에 있었던 해킹 사태가 이제야 잠잠해지나 했더니 또 시작이다. 이번에는 KT와 LG유플러스다. 정부는 두 회사가 해킹을 당했으니 신고하라고 수차례 권고했다. 두 회사는 해킹 정황이 없다며 신고를 거부했다.
정보통신망법 48조의 4에 따르면 주요 정보통신기반시설에 중대한 침해사고가 발생하면 민관합동조사단을 구성해 운영할 수 있다. 다만 실제 조사에 나서기 위해선 피해가 커 확산을 방지해야 하는 긴급한 사안이어야 한다. 그렇지 않으면 조사 대상자의 자발적 협조를 얻어야 한다.
국회는 해킹이 없었다며 버티고 있는 두 회사가 문제라고 목소리를 높였다. 일반 침해 사고 시에도 기업을 출입해 강제조사할 수 있도록 법을 개정해야 한다고도 한다.
공격자 로그를 살펴보니 수법도 다양했고 망이 분리된 경우나 다중 방어체계를 적용한 곳에서도 정보 탈취에 성공했던 것으로 나타났다. 기간은 무려 2005년부터 2025년까지 20여 년치 자료가 나왔다. 보고서에 따르면 공격자는 북한 소행으로 보이게 위장한 중국 해커로 추정된다. 기간과 해킹 범위를 볼 때 국가 차원의 중국 배후 지능형지속위협(APT)에 해당한다고도 했다.
KT에서는 도메인인증서, LG유플러스에서는 내부 서버목록과 접속 ID, 실명이 유출됐다. 이용자 개인정보와는 별 관련이 없다. 문제는 해킹된 정부 기관들이다. 행안부 내부 웹보안 시스템 문서, 외교부 내부 메일 소스코드가 유출됐다. 해커들은 공인인증서 보안 프로그램 소스코드도 빼냈다.
보안업계는 SK텔레콤 해킹 발생 초기부터 범국가 차원에서 사이버 공격이 있었다고 주장해왔다. 이 같은 설명을 정부도 국회도 듣지 않았다. 기업에만 책임을 돌렸다. 유출된 유심 키값만으로 복제폰을 만들 수 없다는 기업이 해명하자 "다른 정보와 결합하면 된다"며 묵살했다. 국민 불안만 키워 꼭두새벽부터 이동통신 대리점 앞에 긴 줄을 늘어서게 만들었다.
자진 신고하고 조사에 협조했지만 개인정보위는 1348억원이라는 과징금까지 부과했다. 이게 끝이 아니다. 개보위는 사상 최대 규모의 과징금의 배경으로 SK텔레콤이 관리 책임을 다하지 않았다고 밝혔다. SK텔레콤은 소비자의 집단분쟁조정도 거쳐야 한다.
이렇다 보니 KT와 LG유플러스를 비롯한 어느 누구도 해킹 사고가 발생했다고 먼저 얘기하기가 어려워졌다. 조사 자체도 부담스럽다. 보안패치 하나라도 놓쳤다면 '관리 소홀'로 지적받고 덤터기 쓰는 상황이 발생할 수 있다.
과방위 전체회의에서 불거진 정보통신망법 개정은 더 큰 문제를 야기할 수 있다. 법상 일반 침해사고에는 해킹을 비롯해 컴퓨터 바이러스 공격과 서비스거부공격(DDoS)이 모두 포함된다. 국회 의견대로 정보통신망법이 개정되면 사실상 정부에 국내 모든 기업들의 서버를 들여다보는 만능 사찰권한을 주게 되는 셈이다.
잘못을 저지른 기업에 책임을 묻는 것은 당연한 일이다. 법에 문제가 있다면 고치는 것도 맞다. 하지만 거대 여당이 입법 만능주의로 향하는 모양새는 좋지 않다. 많은 권한이 있을수록 신중해야 한다.
명진규 기자aeon@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
