줄줄 새는 국민 정보... KT·SKT 이통사 해킹 피해 '눈덩이'

김영섭 KT 사장을 비롯한 임직원들이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 고개 숙여 사과하고 있다. [사진=연합뉴스]

KT의 무단 소액결제 사태로 일부 가입자의 정보가 유출된 사실이 알려지며 이동통신사의 해킹 사례가 재조명되고 있다.

12일 통신업계에 따르면 지난 10여년간 SK텔레콤, KT, LG유플러스 등 주요 통신사가 표적이 되며 수천만 건의 고객 정보가 유출당했다.

먼저 KT는 2012년 영업 시스템 전산망이 해킹당해 가입자 873만여명의 개인정보가 유출됐다. 유출된 정보에는 이름, 휴대전화번호, 주민등록번호, 사용 단말기 모델, 요금제, 요금액, 기기 변경일 등이 포함됐다.

2014년에는 해커 일당이 신종 해킹 프로그램을 개발해 KT 홈페이지 가입 고객 1600만명 중 1200만명의 고객정보를 탈취해 휴대전화 개통·판매 영업에 활용한 사건이 발생했다.

이들은 2013년 2월부터 1년간 신종 해킹 프로그램을 이용해 KT 홈페이지에 로그인한 후 1200만명의 개인정보를 빼낸 것으로 조사됐다.

해커들은 빼돌린 고객정보로 1만1000여 대의 휴대전화를 판매해 115억원의 매출을 거두고 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점에 불법 유통한 것으로 드러났다.

LG유플러스는 2023년 1월 해킹으로 약 30만건의 고객 정보가 불법 거래 사이트로 유출됐다.

유출된 정보는 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·유심(USIM) 고유번호 등 26개 항목에 달했다.

LG유플러스는 이 책임으로 개인정보보호위원회로부터 과징금 68억원과 과태료 2700만원 등을 부과받았지만, 유출 원인은 결국 밝혀지지 않았다.

가장 최근인 올해 4월에는 SK텔레콤에서 사실상 고객 전체인 2324만4000여명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 유출됐다.

해커는 2021년 8월부터 SK텔레콤 내부망과 통합고객인증시스템 등에 악성 프로그램을 설치, 올해 4월 18일 홈가입자서버(HSS) 데이터베이스에 저장된 이용자 전체의 개인정보를 외부로 빼돌렸다.

SK텔레콤은 2022년 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않은 것으로 드러나 질타받았다.

SK텔레콤은 이 사건으로 개보위 역대 최대 규모인 1348억원을 부과받았으나 현재까지도 해킹의 배후는 알려지지 않았다.