SKT·롯데카드·KT 등 각종 서버 해킹 피해자들이 손해배상 소송을 제기하고 있지만 ‘1인당 10만원’ 배상액에 갇혀 피해자에게 돌아오는 실익이 적다는 지적이 나온다. 특히 집단 소송은 시간이 오래 걸리는 ‘소모전’인데다 승소 가능성이 적다는 점도 문제점으로 꼽힌다. 28일 법조계에 따르면 주요 해킹 사건으로 인한 개인 정보 유출 관련 피해 배상액은 대부분 ‘1인당 10만원’ 수준이다. 개인정보 보호법상 정보가 유출되면 법정 손해배상은 300만원 이하 범위에서 가능하지만, 개인 피해자들이 기업의 과실을 입증하기 어려워 패소하거나 소액 판결에 그치고 있기 때문이다. 실제 지난해 모두투어 개인정보 유출 사건과 관련, 서울중앙지법은 지난달 12일 위자료 액수를 10만원으로 인정하는 판결을 했다. 2014년 NH농협·KB국민·롯데카드 개인정보 유출 사건, 2016년 인터파크 해킹 사건에서도 1명당 10만원 배상 판결이 나왔다. 이마저도 집단 소송에 참여한 피해자만 배상받을 수 있었다. 법적으로 손해 배상이 인정되려면 정보 유출로 인해 실제 재산상 피해가 발생했다는 점과 기업 측의 고의 또는 과실을 입증해야 해서다. 결국 개인에 불과한 피해자가 오랜 법적 다툼 끝에 패소하는 사례가 적지 않다. 예컨대 2008년 옥션 개인정보 유출의 경우 대법원은 “(기업이) 해커 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안도 기술의 발전 속도 등을 고려할 때 기대하기 쉽지 않다”며 기업의 손을 들어줬다. 소송 자체도 장기전인데 일부 로펌이 소송인단 모집에만 열을 올리고 정작 소송에 들어가면 성실하게 대응하지 않는다는 비판도 나온다. 15년 전 네이트 등 해킹 사건의 집단 소송을 주도했던 원고 A씨는 “이제까지 책임감 있게 소송을 진행하는 로펌을 제대로 보지 못했다”며 “승소금을 ‘먹튀’하는 변호사도 있다”고 했다. 피해자에게 착수금이나 성공 보수 등을 무리하게 요구하는 로펌도 있다고 한다. 집단 소송은 ‘돈이 안 되는’, ‘대기업과 맞서는’ 사건으로 분류돼 로펌도 소극적인 분위기다. 집단 소송 경험이 있는 한 변호사는 “다수의 원고를 관리하면서 집단 소송을 운영하면 로펌 입장에서는 남는 것이 없다”면서 “영세 로펌들이 싸게 소송 인원을 모집한 뒤 나중에 가서 성공보수로 전체 배상액의 20~30%를 요구하는 방식을 쓴다”고 말했다. 최근에는 피해자들의 불편을 최소화할 수 있는 새로운 유형의 소송도 나오고 있다. 한 로펌은 SKT 해킹 피해자들에게 손해배상 채권을 산 뒤 대규모 소송을 제기했다. 피해자가 로펌이 만든 공식 사이트에서 5만원에 채권을 매각하면, 로펌이 이를 매입해 소송을 제기하는 방식이다.

대전 본원, 광주·대구·공주에 센터중앙부처 시스템 해킹 감지 역할도 화재가 일어난 국가정보자원관리원(‘국정자원’)은 국가 전산망의 중추신경이자 ‘가급 보안시설’(대통령실·정부종합청사·국회 등)이다. 28일 행정안전부에 따르면 행안부 소속 기관인 국정자원은 대전 본원과 분원에 해당하는 광주·대구·공주센터를 두고 있다. 중앙행정기관과 지방자치단체, 공공기관의 정보시스템과 국가정보통신망 등 인프라와 장비를 구축·관리하고 사이버 보안에도 깊숙이 관여한다. 중앙부처 시스템에 대한 해킹 시도를 감지하고 해결하는 역할도 맡는다. 정부24(전자정부 서비스), 새올(공무원 전용 행정전산망)뿐만 아니라 1600개에 이르는 정부 디지털 시스템이 모두 국정자원에서 운영된다. 지난 2005년 세계 최초의 정부 통합 데이터센터인 정부통합전산센터로 출범했다가 2017년 현재 이름으로 바뀌었다. 1600개의 시스템 중 이번 화재로 가동이 중단된 647개는 대전 본원에서 운영된다. 국정자원 분원에는 ‘데이터 백업 체계’가 갖춰져 있다. 하지만 이를 가동할 시스템이 부족해 서비스 복구가 지연되고 있다. 국정자원은 2023년 11월 초유의 행정전산망 먹통 사태 때도 도마에 올랐다. 당시 일주일간 지속된 마비 상태가 네트워크 장비 불량에 따른 것으로 드러났기 때문이다. 이재용(56·행시 38회) 원장은 2023년 5월 취임했다. 이 원장은 조달청 정보관리과장, 원자재총괄과장을 지낸 뒤 삼성전자 상무, 바이브컴퍼니 대표이사를 역임했다. 국정자원 원장직은 민간 전문가만 맡을 수 있는 고위공무원단 나급의 경력개방형 직위다.

부산 앞바다 수놓은 해군 전력의 ‘향연’ 지난 26일 부산 앞바다. 하늘을 날던 해군 해상초계기 P-8A에서 플레어 80발이 번쩍하고 공중을 가르자 곳곳에서 탄성이 터져 나왔다. 해군 창설 80주년을 기념하는 화려한 축포였다. 시작만 화려한 게 아니었다. 해상작전헬기 ‘링스’, 올해 도입된 해군 최신형 해상작전헬기 MH-60R, 해병대 상륙기동헬기 MUH-1, 육군 공격헬기 AH-64, 해경 헬기, 공군 경공격기 FA-50 등이 위용을 뽐내며 하늘을 찬란하게 수놓았고 세종대왕함, 왕건함, 충남함, 부산함, 광명함, 고속정 편대, 양만춘함, 인천함, 조천형함 등은 바다의 물결을 아름답게 갈라놓았다. 새하얀 제복을 입고 경례를 건네는 해군 장병들의 모습은 바다를 누비는 이들이 주는 벅찬 감동이 밀려오게 했다. 그야말로 끝날 때까지 기대감을 저버리지 않는 해상 전력들의 ‘향연’이었다. 이날 열린 ‘2025 대한민국 해군 관함식’은 7년 만에 열린 우리 해군의 관함식이었다. 1945년 11월 11일 해군 창설 이후로는 6번째. 1949년 이승만 전 대통령 때 함정 9척을 동원해 인천에서 첫 국내 관함식이 열렸고 1998년과 2008년에 각 11개국이 참가해 국제 관함식이 개최됐다. 2015년에는 미국 항공모함이 참가한 가운데 부산에서 국내 관함식이 있었고, 2018년에는 제주에서 12개국 참가하에 국제 관함식이 열린 바 있다. 육지에서 열리는 국군의날 행사 등에 참여할 수 없는 아쉬움을 떨쳐내듯 총 31척의 함정과 18대의 항공기가 부산 앞바다를 찾은 이들의 마음을 뒤흔들었다. 해상사열 후에는 대잠작전 훈련 시범도 이어졌다. 해상초계기 P-8A가 음향탐지부표를 투하하자, 해상작전헬기 MH-60R이 디핑 소나를 내려 수중의 잠수함을 탐지·추적했다. 해상작전헬기 링스가 잠수함을 격침하기 위해 훈련어뢰를 투하했다. 북한이 그나마 우리 해군을 위협하는 요소가 잠수함인데 현재 해군의 전력은 이마저도 막아낼 수 있음을 보여줬다. 관함식에 등장한 전력들은 현시점 우리 해군이 얼마나 강한지를 제대로 느끼게 했다. 북한은 김정은 국무위원장이 해군력을 강조하며 해군에 힘을 주고 있지만 각종 첨단 전력이 균형과 조화를 이룬 우리와는 비교할 수 없다는 게 중론이다. 개화기 조선은 바다를 통해 들어온 외세를 막아내지 못했지만 이날 선보인 배들은 적들의 그 어떤 침략에도 우리 바다와 국민을 지킬 것 같은 든든함이 있었다. 트럼프도 반할 K조선의 건조 능력 우리 해군의 현주소를 보여주는 장면은 또 있었다. 앞서 지난 17일 울산 HD현대중공업에서 열린 한국형 3축 체계의 핵심전력인 세종대왕급 이지스구축함 2번함 다산정약용함(DDG-996)의 진수식에서였다. 국내에서 설계하고 건조한 다산정약용함은 2021년 HD현대중공업과 건조계약 체결 이후 2023년 7월 착공식과 2024년 3월 기공식을 거쳐 이날 진수됐다. 안규백 국방부 장관은 축사에서 “울산의 푸른 바다 위에 위풍당당이 떠오른 다산정약용함을 마주하니 가슴이 벅차오른다”라며 “정조대왕함에 이어 두 번째 차세대 이지스구축함인 다산정약용함을 진수하게 된 것은 대한민국의 첨단 과학기술력과 조국 해양 수호의 강한 의지를 보여주는 또 하나의 쾌거”라고 평가했다. 다산정약용함은 길이 170m, 폭 21m, 경하톤수 약 8200t으로 세종대왕급 이지스구축함에 비해 크기가 커졌다. 또한 적의 공격으로부터 함정을 보호하는 스텔스 성능도 강화되는 등 전반적인 전투 능력이 향상됐다. 장거리대잠어뢰와 경어뢰를 활용한 대잠공격도 가능하며, 최근 도입된 MH-60R 해상작전헬기도 탑재할 수 있다. 특히 미국의 최신 이지스 전투체계를 탑재해 적의 탄도미사일에 대한 탐지·추적 능력이 개선됐다. 향후에는 함대지 탄도유도탄과 장거리 함대공 유도탄을 탑재해 주요 전략 표적에 대한 원거리 타격과 탄도미사일에 대한 요격 능력까지 갖출 예정이다. 북한의 주요 전력인 미사일 체계에 대응한 무장 능력으로 우리 바다를 수호하겠다는 의지가 엿보였다. 이처럼 위풍당당한 해군의 전력은 세계 최고 수준의 조선업 기술이 있었기에 가능할 수 있었다. 해군이 필요로 하는 전력과 K조선의 선박 건조 능력이 맞물려 동반 성장하는 효과를 낸 것이다. 특히 최상의 해군 전력을 만들어낼 수 있는 한국의 능력은 도널드 트럼프 정부 한미동맹 관계에서도 중요한 역할을 하고 있다. 이른바 ‘마스가(MASGA·Make American Shipbuilding Great Again) 프로젝트’를 통해 미국이 한국과의 관계를 더 돈독히 하는 계기가 됐기 때문이다. 중국과 해양 패권을 두고 다투는 미국으로서는 K조선의 협조가 필수다. HD현대중공업은 이지스 3번함을 건조하고 있었는데 지난 6월 기공식에 착수해 30% 정도 공정이 완료됐을 정도로 진척이 빠른 상태였다. 진수식은 내년에 예정하고 있다. 타의 추종을 불허하는 한국 조선업의 건조 능력을 트럼프 대통령이 직접 본다면 그야말로 흠뻑 반할 수밖에 없는 현장이었다. 병력 부족에 허덕…세밀한 정책 필요 그러나 이처럼 앞날이 창창할 것만 같은 해군에도 깊은 고민이 있다. 이 거대한 함선을 운용할 인력들이 상시적으로 부족한 문제에 직면해 있기 때문이다. 승조원 규모가 정해진 함선들을 운용해야 하는 해군으로서는 인력 확보가 필수다. 그러나 나날이 갈수록 병역 자원이 감소하면서 해군 역시 쥐어짜는 수준으로 겨우 버티는 게 현실이다. 세계 최고의 기술력을 갖췄음에도 해군이 마냥 전력을 고도화할 수 없는 사연도 여기에 있다. 아무리 좋은 배를 만들더라도 배를 다룰 사람이 없다면 효용이 떨어지기 때문이다. 2025년 기준 해군 병력은 약 4만명 수준이다. 그러나 이마저도 언제까지 유지할 수 있을지 미지수다. 병사들은 물론 열악한 처우에 간부들도 점점 줄어들고 있어서다. 가장 규모가 큰 육군마저 부대를 해체·개편하는 마당이다 보니 해군 역시 상황이 녹록지 않다. 이토록 대단한 전력을 운용할 인원이 갈수록 모자란다는 위기감은 우리 안보에도 불안 요소가 되고 있다. 일각에서는 유무인 복합체계를 대안으로 내세워 줄어드는 병력을 대체할 수 있다는 목소리도 나온다. 이재명 대통령 역시 지난 21일 ‘자주국방’을 외치며 “대한민국 군대는 징병 병력 수에 의존하는 인해전술식 과거형 군대가 아니라 유무인 복합 체계로 무장한 유능하고 전문화된 스마트 정예 강군으로 재편해야 한다”고 주장한 바 있다. 그러나 무인 체계를 아무리 고도화한들 병력이 부족한 문제를 해결하기에는 무리가 있다. 유무인 복합체계 역시 이를 활용하고 운용할 사람이 있어야 의미가 있지, 무인 체계가 사람이 부족한 문제를 일거에 해결할 수 있다는 단순하고 순진한 믿음은 대단히 위험하다. 게다가 북한이 세계 최고 수준의 해킹 능력을 갖춘 것도, 해킹 능력이 베일에 가려 있다는 것도 큰 변수다. 시스템만 믿고 있다가 해커들에 의해 뚫릴 경우 더 큰 타격을 받을 수 있다. 최근 우크라이나의 경우를 봐도 전쟁은 여전히 사람이 필수라는 것을 보여주고 있다. 우크라이나가 예상과 달리 쉽사리 함락되지 않은 이유는 분명 첨단 무기를 통한 유무인 복합체계에 있다. 그러나 우크라이나가 여전히 전쟁을 겪고 민간인 피해가 계속해서 발생하는 것은 근본적으로 병력의 숫자 부족에 있다. 전쟁이 장기화하면서 느슨해진 전선은 러시아 군대에 의해 쉽게 공략당하고 있으며 이는 우크라이나가 점점 불리한 형세에 몰리는 원인이 되고 있다. 국방 자원의 규모 문제와 이에 대한 해결은 정치적 수사나 분쟁의 영역이 아니라 국민 생명과 직결된, 세밀한 대응이 필요한 정책의 영역이다. 군대를 좋은 직장으로 만들고 유능한 자원을 확보하기 위한 치열한 고민이 선행돼야 ‘유무인 복합체계로 무장한 유능하고 전문화된 스마트 정예 강군’이 실현 가능하다는 걸 알아야 한다. 강동길 해군참모총장 역시 간부들이 지속적으로 근무할 수 있도록 적극 나서겠다고 공언한 만큼 해군, 나아가 전군이 직면한 병력 부족 문제를 해결할 수 있도록 정부 차원의 적극적인 지원과 노력, 고민이 필요한 시기다. ‘FM리포트’는 우리 군이 지켜야 할 규범(Field Manual), 우리 군이 나아갈 미래(Future of Military)에 대해 씁니다. 잘못을 비판하고 나은 대안을 고민하며 정예 선진강군 육성에 힘을 보태겠습니다.

AI로 하루 만에 공격 대상 약점 분석몇 개월 잠복하며 내부망 권한 장악시스템 중단 우려에 보안 조치 미뤄기업 보안 의식 안일… 쉬운 먹잇감 “요즘 해킹은 인공지능(AI)까지 동원해 취약한 고리를 빠르고 집요하게 뚫어내는데, 기업들의 보안 수준과 의식은 2000년대 초반에 머물러 있으니 사고가 날 수밖에 없죠.”(27세 화이트해커 김모씨) SKT, KT, 롯데카드 등 통신사와 금융사에 대한 잇따른 해킹 공격으로 3000만명이 넘는 개인정보가 새 나가면서 ‘내 정보가 언제든지 탈취될 수 있다’는 불안감이 커지고 있다. 사이버 보안업계 등에서 활동 중인 7명의 화이트해커는 25일 서울신문과의 대면·전화 인터뷰에서 “해킹으로 빼낸 개인정보가 다크웹 등에서 흔하게 거래되고 있고, 해킹 툴을 판매하는 이들도 있다”며 “누구나 해킹을 시도할 수 있어 전문가만 해킹한다는 것도 옛말”이라고 했다. 이들은 최근 해킹 공격의 특징으로 크게 ▲AI를 동원해 취약 시스템을 신속 공격하고 ▲내부망을 장악한 뒤 장기간 은닉해 내부 시스템에서 권한을 키우는 방식을 쓰며 ▲해킹 툴 확산으로 비전문가 해킹까지 늘어나고 있다는 점을 꼽았다. 백모(19)씨는 “AI 등장 전에는 공격자인 해커(사람)가 몇 달 동안 기관이나 기업 프로그램의 취약점을 하나하나 분석했다면, 지금은 AI를 활용해서 하루 만에 이를 끝낸다”고 했다. 기업이 보안 프로그램을 업데이트하기 전에 재빨리 취약 고리를 뚫고 내부망을 장악할 수 있다는 것이다. 특히 이렇게 내부망을 장악한 이후 해커들은 길게는 몇 개월 넘게 ‘잠복’하며 시스템 권한을 하나씩 장악해 간다고 한다. 최모(19)씨는 “정상적으로 시스템이 돌아가는 것처럼 보이게 해 안심시킨 뒤 서서히 내부망 접근 권한을 키워나간다”고 했다. 박모(22)씨도 “오랜 기간 권한을 늘려 대량의 정보를 탈취하는 게 해커들의 목적”이라며 “그만큼 은닉 기술이 고도화되고 있다”고 전했다. 범죄에 악용되는 해킹툴을 다크웹에서 손쉽게 구할 수 있단 점도 문제다. 김모(24)씨는 “악의적으로 해킹하겠다는 마음만 먹으면 프로그램 코드 작성 지식조차 없는 이들도 툴에 따라 국내 기업의 보안망을 뚫을 수 있다”며 “기업이 보안 프로그램 업데이트조차 제때하지 않기 때문에 가능한 일”이라고 강조했다. 화이트해커들은 이번 KT, 롯데카드 해킹 사태도 기업들의 안일한 보안 의식이 불러온 결과라고 입을 모았다. 임모(26)씨는 “롯데카드의 경우 2017년에 드러난 취약점인데 그 사이 보안 소프트웨어 업데이트를 제대로 하지 않아 발생한 것”이라며 “시스템 중단 우려에 업데이트를 미루고 보안 소프트웨어의 외주화 등이 맞물려 일어나는 일”이라고 말했다. 이모(20)씨도 “공격하는 해커들 입장에서 ‘가성비’를 따지면 한국 기업만 한 곳이 없다”며 “탈취할 정보는 많은데, 보안은 취약해 뚫기 쉬우니 지속적으로 공격 대상이 될 수 있다”고 지적했다.

“요즘 해킹은 인공지능(AI)까지 동원해 취약한 고리를 빠르고 집요하게 뚫어내는데, 기업들의 보안 수준과 의식은 2000년대 초반에 머물러 있으니 사고가 날 수밖에 없죠.”(27세 화이트해커 김모씨) SKT, KT, 롯데카드 등 통신사와 금융사에 대한 잇따른 해킹 공격으로 3000만명이 넘는 개인정보가 새 나가면서 ‘내 정보가 언제든지 탈취될 수 있다’는 불안감이 커지고 있다. 사이버 보안업계 등에서 활동 중인 7명의 화이트해커는 25일 서울신문과의 대면·전화 인터뷰에서 “해킹으로 빼낸 개인정보가 다크웹 등에서 흔하게 거래되고 있고, 해킹 툴을 판매하는 이들도 있다”며 “누구나 해킹을 시도할 수 있어 전문가만 해킹한다는 것도 옛말”이라고 했다. 이들은 최근 해킹 공격의 특징으로 크게 ▲AI를 동원해 취약 시스템을 신속 공격하고 ▲내부망을 장악한 뒤 장기간 은닉해 내부 시스템에서 권한을 키우는 방식을 쓰며 ▲해킹 툴 확산으로 비전문가 해킹까지 늘어나고 있다는 점을 꼽았다. 백모(19)씨는 “AI 등장 전에는 공격자인 해커(사람)가 몇 달 동안 기관이나 기업 프로그램의 취약점을 하나하나 분석했다면, 지금은 AI를 활용해서 하루 만에 이를 끝낸다”고 했다. 기업이 보안 프로그램을 업데이트하기 전에 재빨리 취약 고리를 뚫고 내부망을 장악할 수 있다는 것이다. 특히 이렇게 내부망을 장악한 이후 해커들은 길게는 몇 개월 넘게 ‘잠복’하며 시스템 권한을 하나씩 장악해 간다고 한다. 최모(19)씨는 “정상적으로 시스템이 돌아가는 것처럼 보이게 해 안심시킨 뒤 서서히 내부망 접근 권한을 키워나간다”고 했다. 박모(22)씨도 “오랜 기간 권한을 늘려 대량의 정보를 탈취하는 게 해커들의 목적”이라며 “그만큼 은닉 기술이 고도화되고 있다”고 전했다. 범죄에 악용되는 해킹툴을 다크웹에서 손쉽게 구할 수 있단 점도 문제다. 김모(24)씨는 “악의적으로 해킹하겠다는 마음만 먹으면 프로그램 코드 작성 지식조차 없는 이들도 툴에 따라 국내 기업의 보안망을 뚫을 수 있다”며 “기업이 보안 프로그램 업데이트조차 제때하지 않기 때문에 가능한 일”이라고 강조했다. 화이트해커들은 이번 KT, 롯데카드 해킹 사태도 기업들의 안일한 보안 의식이 불러온 결과라고 입을 모았다. 임모(26)씨는 “롯데카드의 경우 2017년에 드러난 취약점인데 그 사이 보안 소프트웨어 업데이트를 제대로 하지 않아 발생한 것”이라며 “시스템 중단 우려에 업데이트를 미루고 보안 소프트웨어의 외주화 등이 맞물려 일어나는 일”이라고 말했다. 이모(20)씨도 “공격하는 해커들 입장에서 ‘가성비’를 따지면 한국 기업만 한 곳이 없다”며 “탈취할 정보는 많은데, 보안은 취약해 뚫기 쉬우니 지속적으로 공격 대상이 될 수 있다”고 지적했다.

인터넷 1회선으로 PC 10대까지 쓸 수 있는 실속 상품 출시세종시와 손잡고 지역경제 지원사업 추진… 골목상권 활성화금융 사기·수리 보상 등 소상공인 피해 보상 서비스 무료 제공연내 AI 숏폼 기반 ‘B tv 핫딜’ 출시… 유료방송-홈쇼핑 상생 물가·인건비·임대료까지 치솟는 상황에서 가장 큰 어려움을 겪는 이들은 소상공인이다. SK브로드밴드가 이들을 위한 맞춤형 상품과 상생 프로그램을 잇달아 내놓으며 골목상권 활성화에 앞장서고 있다. SK브로드밴드는 최근 초고속인터넷 1회선 요금으로 PC 10대까지 동시에 쓸 수 있는 소상공인 전용 ‘쉐어 인터넷’을 출시했다고 25일 밝혔다. 기존 2대까지만 가능했던 동시 접속을 10대까지 확대해 학원, 병원, 사무실 등에서 실질적인 비용 절감 효과를 제공한다. 이 상품은 금융사기 피해 보상과 매장 기기 수리비 지원을 더한 ‘든든 쉐어 인터넷’으로 무상 업그레이드할 수도 있다. 피싱·해킹 등으로 인한 금전 피해는 연 1회 최대 300만원까지 보상받을 수 있고, POS·카드단말기·PC·TV 고장 시 최대 50만원의 수리비도 지원된다. 업종별로 필요한 보장을 선택적으로 누릴 수 있다는 점이 특징이다. 장기 약정에 부담을 느끼는 소상공인을 위해 ‘힘내CEO 1년 약정 할인’도 제공한다. 1년 약정만으로 최대 40% 요금 인하 혜택을 받을 수 있으며, 모뎀 임대료도 면제된다. 폐업 시에는 증명서 제출만으로 위약금이 면제돼 부담을 줄였다. 지역경제 살리기에도 적극 나서고 있다. SK브로드밴드는 세종시와 협력해 전통시장·골목상권 활성화 사업을 추진한다. 소상공인의 매출 확대, 디지털 경쟁력 강화, 지역거점 육성 등을 지원하는 것이 골자다. 이밖에 폐업 시 부담이 컸던 PC방 전용상품 ‘하이랜’의 위약금 계산식을 개선해 소상공인의 위험을 줄였으며, IPTV와 AI를 결합한 ‘B tv 핫딜’도 연내 선보인다. 1~3분 내외의 쇼트폼 홈쇼핑 영상을 TV에서 바로 보고 구매할 수 있는 서비스로, 소상공인과 중소 벤더에 무료 유통채널을 제공해 판로 확대를 돕는다. SK브로드밴드 관계자는 “소상공인들이 어려운 시기를 버텨낼 수 있도록 실질적인 혜택을 주는 상품을 개발하고, 지역사회와 함께 성장하는 상생 모델을 만들겠다”고 밝혔다.

SK텔레콤에 이어 롯데카드, KT 등 통신·금융업계가 해킹에 뚫려 개인정보가 줄줄 새 나가면서 소비자들의 피해도 커지고 있다. 국가기관 역시 예외는 아니다. 헌법기관·중앙행정기관에서 유출된 개인정보 건수가 2년 새 6배나 늘었다. 민관 모두 해킹에 멀쩡한 곳이 없다. 디지털 시대 ‘국가 재난’ 수준으로 대응해야 한다는 목소리가 높다. 개인정보보호위원회에 따르면 국가기관의 개인정보 유출 규모는 2022년 65만건에서 지난해 391만건으로 급증했다. 신고 건수는 2022년 23건에서 지난해 104건으로 폭증했다. 올 들어 7월까지 이미 72건의 신고가 들어왔고 총 91만건이 유출됐다. 건강보험공단에서 지난 1일 182명의 개인정보가 뚫렸고 질병관리청에서도 올해만 두 번 유출됐다. 내 개인정보가 오늘 당장 떠돌아다녀도 조금도 이상하지 않을 상황이다. 공공기관이 보유한 개인정보는 중앙기관 303억건, 지방자치단체 56억건, 교육기관 29억건 등 총 757억건에 달한다. 통신사와 보험사, 저축은행, 카드사, 인터넷서점에 병원 등까지 해킹에 뚫리지 않은 곳이 없을 정도로 해킹 위협과 정보 유출 피해는 심각해지고 있다. 해킹 수법도 KT의 ‘가짜 기지국’ 등 갈수록 고도화하고 있다. 그런데도 기업이나 기관이나 해킹 등 보안 강화를 위한 예산과 전담 인력 투입은 턱없이 부족하다. 지난해 공공기관 중 정보 보호 예산이 1000만원 미만인 기관은 83곳(10.4%)이었다. 롯데카드의 올해 관련 예산은 정보기술 예산의 9%로 2020년 14.2%에서 오히려 급감했다. 어제 국회 과학기술정보방송통신위원회의 해킹 사고 청문회에서 의원들은 KT, 롯데카드 등을 상대로 “구멍가게도 이렇게 안 한다”며 질타를 쏟아 냈다. 책임자 사후 처벌도 중요하지만 보안 의식 강화와 실효성 있는 재발 방지책 마련이 시급하다. 과학기술정보통신부, 금융위원회 등 관련 부처가 합동 대응을 강화하지 않으면 ‘인공지능(AI) 강국’은 요원할 수밖에 없다.

KT 대표 “펨토셀 외주 허점” 인정과기부 차관 “복제폰 위험성 볼 것”28만명 중 19만명 재발급 등 조치MBK, 롯데카드 매각 계획 재확인증인 채택된 김병주 회장 불출석 24일 국회에서 열린 ‘KT·롯데카드 해킹 사태’ 청문회에서 여야 의원들이 해당 기업들의 관리 소홀과 늑장 대응에 대해 집중 추궁했다. 과학기술정보통신부는 이 자리에서 고의성이 확인되면 경찰 수사 의뢰 등에 나서겠다는 입장을 밝혔다. 김영섭 KT 대표는 이날 청문회에서 허술한 ‘초소형 기지국’(펨토셀) 관리와 늑장 대응 등으로 질타를 받았다. 김 대표는 경찰의 해킹 통보 후 8일이나 지나서야 신고한 것과 관련해 “당시 스미싱으로 오인해 대응이 늦어졌을 뿐, 은폐 의도는 없었다”고 해명했다. 김 대표는 사퇴 의사에 대해선 “사태 수습이 우선”이라며 유보하는 태도를 취했다. 해킹의 주요 경로로 지목된 펨토셀을 부실하게 관리했다는 지적도 잇따랐다. 김 대표는 “외주 관리 체계에 허점이 있었던 것은 인정한다”고 했다. 류제명 과학기술정보통신부 2차관은 “서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요시 경찰 수사 의뢰 등 강력 조치하겠다”고 했다. 그러면서 “(복제폰 생성 위험성도) 면밀히 보겠다”고 덧붙였다. 기업의 보안 부실로 인해 발생한 사태인 만큼 번호 이동 고객에 대한 위약금을 면제해야 한다는 지적이 거듭됐다. 김 대표는 “서버 해킹으로 개인 정보가 유출된 2만 30명에 대한 위약금 면제를 적극 검토하겠다”고 했지만, 전체 고객 위약금 면제 여부에 대해선 “최종 조사 결과를 보고 검토할 예정”이라며 선을 그었다. 류 차관은 “KT가 안전한 통신 제공의 의무를 위반했다면 당연히 위약금 면제 조치가 이루어져야 한다고 생각한다”고 말했다. KT는 무단 소액결제 사태와 관련해 올해 발생한 모든 인증 방식 내용 내역에 대해 전수조사를 실시할 계획이다. 이날 청문회에 출석한 조좌진 롯데카드 대표는 200GB 상당의 고객 정보 유출 사태와 관련 “카드 재발급이 100만명까지 밀려있는 상황으로 이번 주말까지는 대부분 해소가 될 것”이라고 밝혔다. 조 대표는 카드 재발급이 늦어지는 이유에 대해 “하루 24시간을 온전히 가동해서 재발급할 수 있는 캐파(Capa)가 6만장”이라며 이같이 답했다. 롯데카드는 지난달 보안패치 누락으로 해킹 사고가 발생해 회원 297만명의 정보가 유출됐다. KT 서버 해킹 사건과 달리 아직 피해액은 발생하지 않았지만 297만명 중 28만명은 연계정보(CI), 주민등록번호, 카드번호, 유효기간, 보안코드(CVC) 번호 등 부정 사용이 가능한 핵심정보까지 유출됐다. 롯데카드에 따르면 전날 오후 6시 기준 정보가 유출된 전체 고객 297만명 중 카드 재발급 신청을 한 이들은 약 65만명, 카드 비밀번호 변경은 82만명, 카드 정지 11만명, 카드 해지 4만명 등으로 집계됐다. 특히 CVC 번호 등 핵심 정보가 유출된 고객 28만명 중에는 19만명(68%)에게 카드 재발급, 비밀번호 변경, 카드 정지·해지 등 조치를 했다. 롯데카드는 신용정보법과 개인정보보호법을 근거로 총 800억원 이상의 과징금을 부과받을 위기다. 롯데카드는 향후 5년간 1100억원의 정보 보안 투자를 후속 대책으로 내세웠으나, 최대주주인 사모펀드 MBK파트너스의 윤종하 부회장은 이날 청문회에서 보안투자를 강화하겠다면서도 롯데카드 매각 계획을 재확인했다. 증인으로 채택된 김병주 MBK파트너스 회장은 불출석했다.

이재명 대통령의 핵심 측근으로 꼽히는 김현지 대통령실 총무비서관의 국정감사 증인 채택 여부를 두고 여야가 충돌했다. 국회 운영위원회는 24일 전체회의를 열고 국정감사계획서와 증인·참고인 출석 요구의 건을 논의했다. 강훈식 대통령실 비서실장 등 11명이 대통령실 증인으로 상정됐지만 국민의힘은 김 비서관이 명단에 포함되지 않은 것을 두고 거세게 반발했다. 국회 운영위 간사를 맡고 있는 유상범 국민의힘 의원은 “김 비서관은 절대 불러서는 안 되는 존엄한 존재냐”고 직격했다. 이에 더불어민주당 간사인 문진석 의원은 “비서실장에 따져 물어도 국감에는 지장이 없다. 정쟁으로 삼으려는 국민의힘의 의도에 동조할 수 없다”고 반박했다. 결국 운영위는 이날 증인 채택 안건을 의결하지 않고, 간사 간 추가 협의 후 다시 논의하기로 했다. 한동훈 전 국민의힘 대표는 이날 자신의 페이스북에 “민주당은 대법원장, 대법관들을 막 부르면서 김 비서관은 못 부르게 막고 있다”며 “정청래식으로 김현지씨는 ‘뭐’라도 되느냐”고 적었다. 이날 국회 과학기술정보방송통신위원회는 온라인에서 악성 루머를 통해 돈을 버는 ‘사이버 렉카’ 관련 대책을 마련하기 위한 참고인으로 유튜버 쯔양(본명 박정원)씨의 출석 요구안을 의결했다. 해킹 및 개인정보 유출과 관련해선 김영섭 KT 대표이사, 조좌진 롯데카드 대표이사 등을 증인으로 채택했다. 한편 민주당은 이재명 정부 출범 이후 처음 열리는 이번 국정감사에서는 대기업 총수에 대한 무분별한 증인·참고인 채택을 자제하기로 한 것으로 알려졌다.

추석 연휴를 앞두고 공항·역·호텔 등에서 제공되는 공용 충전기 해킹 위험이 커지고 있다. 지난 23일 글로벌 사이버 보안 기업 노드(Nord)VPN은 “추석 연휴를 앞두고 USB 공용 충전기를 통해 스마트폰이 순식간에 해킹될 수 있다”며 주의를 당부했다. 연휴 기간에는 여행을 위해 여권·신분증 사본, 호텔 예약 정보, 항공사 마일리지 계정 등을 스마트폰에 담아두는 경우가 많은데, 이 같은 정보를 노린 해킹 시도가 발생할 수 있다. 실제로 해커들이 여권 스캔본 등 여행 관련 데이터를 다크웹에서 거래하는 사례도 보고됐다. 노드VPN은 특히 충전기로 위장한 악성 장치를 이용하는 해킹 수법인 ‘초이스 재킹(choice jacking)’ 위험을 경고했다. 초이스 재킹은 비슷한 수법인 ‘주스 재킹(juice jacking)’의 강화된 형태다. 주스 재킹은 USB 충전단자를 통해 충전을 시도하는 순간 전력을 공급하는 척하면서 해킹 프로그램을 심는 방식이다. 요즘 출시되는 스마트폰은 USB 단자가 연결되면 데이터 전송을 허용할 것인지 묻기 때문에 주스 재킹은 상당 부분 막을 수 있다. 하지만 초이스 재킹은 데이터 전송 승인 여부를 조작해 사용자의 동의나 입력 없이 자동으로 데이터 전송 기능을 활성화하기 때문에 피하기 어렵다. 노드VPN은 “초이스 재킹은 단 0.133초 만에 사진·문서·연락처 등을 빼낼 수 있으며, 다양한 공격 기법이 동원돼 탐지가 거의 불가능하다”고 경고했다. 초이스 재킹을 막기 위해서는 ▲휴대전화 운영체제와 앱 최신 보안 패치로 유지 ▲공공 충전기 사용 최소화 ▲개인 충전기나 보조배터리 사용 ▲충전 전용 모드 활성화 등 수칙을 실천하는 것이 중요하다. 노드VPN은 여행지에서 스마트폰을 도난당하면 해킹 못지않게 심각한 피해로 이어질 수 있다며, 도난 발생 시 ▲원격 잠금과 초기화 ▲계정 비밀번호 변경 ▲통신사 서비스 정지 ▲경찰 신고 등 신속한 대응이 필요하다고 강조했다. 황성호 노드VPN 한국 지사장은 “초이스 재킹은 공공 충전 위협의 한 단계 진화한 사례로, 단 하나의 속임수 메시지로도 사용자를 속여 데이터 전송을 허용하게 만들 수 있다”며 “공공 USB 포트는 절대 안전하다고 생각하면 안 된다”라고 말했다. 앞서 지난 6월 한국인터넷진흥원(KISA)도 “해외에서 공공장소에 설치된 개방형 스마트폰 충전단자 또는 와이파이에 접속할 경우 해킹 피해가 발생할 수 있다”라고 주의를 당부했다.

폐기된 줄 알았던 KT의 ‘서버 로그’가 백업돼 있다는 게 드러나면서 해킹 조사가 탄력을 받을 것으로 보인다. KT와 롯데카드 등 통신·금융권에서 연달아 해킹 사고가 터지자 정부는 이 기업들의 정보 보호 체계를 전면 재정비하는 종합 대책을 내놓기로 했다. 22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 지난 15일 폐기된 서버의 로그가 백업돼 있음을 확인하고 이를 18일 임원회의를 거쳐 같은 날 저녁 합동조사단과 공유했다. 서버 로그는 서버에서 발생한 모든 작업과 접근 기록을 담은 파일이다. 해킹 사고가 발생했을 때 누가, 언제, 어떤 방식으로 시스템에 접근했는지를 추적하는 데 핵심 증거가 된다. KT는 지난 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악한 것으로 알려졌다. 당초 당국은 해당 의혹이 서버 폐기로 조사가 어렵다는 입장이었으나 관련 기록 보관이 확인돼 분석이 가능할 것으로 보인다. 다만 서버 폐기와 관련한 KT의 번복 해명은 의혹을 더욱 키우고 있다. KT는 한국인터넷진흥원(KISA)이 자료 제출을 요구한 지난달 12일 서버를 폐기해 자료 제출이 불가능하다고 했다고 했지만, 총 8대의 관련 서버 중 2대는 당시 보관 중이었으며 다음날 폐기한 것으로 드러났다. KT 측은 “담당 부서가 해당 서버의 서비스를 8월 1일 종료했다고 해 서버도 폐기한 줄 알았다”고 뒤늦게 해명했다. KT 해킹 의혹은 지난 8월 글로벌 해킹 권위지 ‘프랙 매거진’의 발표로 시작됐다. 프랙은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 ‘김수키’가 대한민국 주요 정부와 군 기관, 주요 통신사에 지속해서 해킹 공격을 했으며, KT의 경우 인증서(SSL 키)가 유출된 정황이 발견됐다고 전했다. 이후 무단 소액 결제 사건이 발생했는데, KT 해킹 의혹과 이번 소액 결제 사건과의 연관성은 추가 조사가 필요한 상황이다. 김민석 국무총리는 이날 통신사 및 금융사 해킹 사고와 관련한 긴급 현안점검회의에서 “관계부처 장관께서는 사태 수습과 해결에 있어서 해킹과의 전쟁에 임한다는 각오로 임해주시기 바란다”고 당부했다. 국가안보실은 전 국가적 보안 점검을 토대로 해킹 관련 종합 대책을 수립해 이달 말 관계부처 합동으로 발표할 예정이라고 밝혔다. 개인 정보를 유출했을 때 페널티는 강화될 전망이다. 국회 정무위원회 소속 민병덕 더불어민주당 의원실이 개인정보보호위원회 자료를 분석한 결과, 2021년부터 올해 7월까지 451건의 사고로 8854만 3000여건의 개인 정보가 유출된 것으로 확인됐다. 건당 평균 과징금·과태료 합산 금액은 1019원 정도였다.

“과거엔 사고가 나서 물러난단 생각은 못 했는데, 요즘은 그럴 수도 있겠단 생각이 든다.” 대형 금융지주사 계열 한 최고경영자(CEO)의 고백이다. 취업 청탁이나 횡령 사건 등 불법행위에 국한됐던 CEO 책임론이 이제는 사이버 보안으로 옮겨붙고 있다. 하루가 멀다 하고 터지는 해킹 사고 앞에서 더이상 경영진이 뒷짐 지고 있을 수 없다는 자각이 확산하고 있다. 최근 해킹은 업종의 경계를 가리지 않는다. SK텔레콤과 KT 같은 대형 통신사부터 보험사(SGI서울보증), 카드사(롯데카드)에 이르기까지 다양한 영역에서 사고가 터졌다. 시도는 늘 있었지만 최근 들어 그 양상은 더욱 고도화되고 교묘해졌다. SK텔레콤은 침해 사실을 3년 만에 알았고, 롯데카드는 2주일이 지나서야 해킹을 인지하고 신고했다. 보안은 기업 경쟁력의 핵심 가치가 되고 있다. 삼성전자는 연초 CES 2025에서 화려한 외형 대신 자체 보안 솔루션 ‘녹스’(Knox)를 전면에 내세웠다. 핀테크 업계도 마찬가지다. 토스는 세계 최고 수준의 화이트해커팀을 내부 자산으로 자랑하고, 카카오뱅크와 케이뱅크도 정보보호 전문 인재 확보에 적극적이다. 반면 전통 금융권은 여전히 사이버 보안이 “본연의 업무가 아니”라는 태도에서 벗어나지 못하고 있다. 해킹 사건은 단순 사고 한 건의 크기를 넘어선다. 랜섬웨어 공격으로 결제 시스템이 멈추거나 대규모 고객 데이터가 빠져나가면 그 피해는 단순 전산장애에 비할 수 없다. 불편의 문제가 아니라 신뢰 붕괴이자 금융 시스템 안정성 위기다. 하지만 대형 금융사는 아직 해킹을 보안부서나 외주업체의 문제로 국한하며 CEO와 이사회는 책임의 바깥에 서 있는 듯 보인다. 해외는 달라졌다. 유럽연합(EU)은 사이버 보안을 ‘시스템 리스크’로 규정하고, CEO와 이사회가 직접 감독·책임을 지도록 명문화했다. 사고 대응과 보고 체계, 보안 투자까지 경영진이 책임지며, 불이행 시 전 세계 매출의 일정 비율에 해당하는 벌금을 부과한다. 미국 증권거래위원회(SEC)도 사이버 사고 인지 후 4영업일 이내 공시를 의무화했고, 경영진이 위험의 크기와 영향을 직접 설명하도록 규정을 강화했다. 사이버 보안은 이제 자본적정성, 유동성과 같은 ‘핵심 리스크 관리 항목’이다. 우리 정부도 대응 수위를 높이곤 있지만 역부족이다. 과학기술정보통신부와 금융위원회는 최근 합동 브리핑을 열어 해킹 사고 신고 지연 시 과태료를 부과하고 규정 위반이 드러날 경우 엄정 조치하겠다고 했지만, 통신과 금융 분야를 나눠 설명하는 모습은 컨트롤타워 부재를 여실히 보여 줬다. 징벌과 상관없이 기업이 살려면 보안은 CEO가 직접 챙겨야 한다. 해킹은 기술적 문제가 아니라 기업 평판과 주가, 나아가 금융 안보와 직결된다. 사고 발생 시 CEO의 신속한 의사결정과 자원 투입이 피해 최소화를 좌우한다. 무엇보다 해킹 한 번이면 고객과 투자자는 등을 돌린다. 박소연 디지털금융부 기자

영국 런던의 히스로 공항을 포함한 유럽 주요 공항에 탑승 시스템을 겨냥한 사이버 공격이 발생해 항공기 수백편이 지연되는 등 큰 혼란이 일어났다. AP통신은 20일(현지시간) 사회적 혼란을 노린 것으로 보이는 탑승 시스템 공격이 발생해 히스로 공항, 벨기에 브뤼셀 공항, 독일 베를린 브란덴부르크 공항 등에서 비행기가 지연 출발하면서 승객들이 장시간 대기했다고 전했다. 지난해 7월 사이버 보안 회사 ‘크라우드 스트라이크’의 잘못으로 미국 전역의 항공편이 중단된 지 1년여 만에 또다시 ‘항공대란’이 발생한 것이다. 히스로 공항은 세계 여러 공항에 체크인과 탑승 시스템을 제공하는 미국 업체 콜린스 에어로스페이스의 기술적 문제로 이번 사태가 발생했다고 밝혔다. 브뤼셀 공항은 “19일 밤 유럽 공항의 체크인과 탑승 시스템에 사이버 공격이 있어 여러 항공편 운항에 심각한 차질을 빚었다”고 발표했다. 자동 탑승 시스템이 붕괴하자 항공사들은 수동으로 탑승절차를 진행했는데 이 과정에서 인력 부족으로 승객들이 장시간 대기해야만 했다. 항공사 직원들은 손으로 써서 짐에 꼬리표를 달아주거나 전화를 이용해 탑승객 수속을 진행했다. 히스로 공항에서 인도 뭄바이로 갈 예정이었던 조니 랄은 BBC에 “비행기를 놓쳐 시어머니 장례식에 참석하지 못하게 됐다”고 하소연했다. 세계 공항을 마비시킨 탑승 시스템 공격의 배후로는 러시아의 소행을 의심하는 분석이 나왔다. 콜린스 에어로스페이스 측은 일부 공항의 소프트웨어에서 ‘사이버 관련 장애’가 일어났다고 설명했지만, 해킹의 출처에 대해서는 공개적으로 언급하지 않았다. 유럽연합(EU) 집행위원회는 사이버 공격을 긴밀히 점검하고 있다고 밝혔으나, 여러 공항과 항공사가 공동으로 사용하는 탑승 시스템은 해킹에 취약해 대비가 필요한 상황이다. 이런 가운데 지난 10일과 13일 러시아 드론이 북대서양조약기구(나토) 국가인 폴란드, 루마니아 영공을 침범한데 이어 19일엔 러시아군 미그-31 전투기 3대가 같은 나토 회원국인 에스토니아 영공을 침범해 유럽의 긴장이 고조됐다.

결제 피해 362명 청구 조정·환불‘피해 여부 조회 시스템’서도 확인2만명 피해 우려… 유심 무상교체대리점 방문하거나 택배 수령 가능통신사 위약금 면제 전향적 검토KT 무단 소액결제 사태에 이어 서버 해킹 소식까지 전해지면서 가입자의 불안이 가중되고 있다. 소액결제 피해 범위도 알려진 것보다 넓다. 피해 확인 방법과 추후 피해 가능성, 유심 교체와 위약금 면제 여부 등 소비자들이 궁금해 하는 내용을 일문일답으로 정리했다. -무단 소액결제 피해 여부를 알고 싶다. “KT에 따르면 이번 사건을 통해 실제 결제 피해를 본 고객은 362명이며, 피해 금액은 2억 4000여만원이다. 이 중 278명은 청구 조정을 완료했고, 나머지 84명은 신용카드 선결제가 이뤄진 고객이라 환불 처리를 진행했다. 또 개인정보 유출 정황이 있는 고객은 2만여명으로, KT는 지난 18일 오후 3시 이전까지 이들에게 문자 발송을 완료했다. 별도의 문자를 받지 못한 고객 중 피해가 의심되는 고객은 ‘피해 여부 조회 시스템’(check.kt.com)에서 개인정보 유출 정황과 소액결제 피해 여부를 확인할 수 있다. 24시간 운영되는 전담 고객센터에 직접 물어보는 것도 가능하다.” -소액결제 피해 지역이 아니면 안심해도 되나. “KT는 ‘지난 5일 새벽 비정상적인 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다’고 밝혔다. 하지만 KT 측이 당초 발표한 것보다 피해 지역이 확대되고 있어 안심하기는 이르다.” -모르는 새 소액결제가 될까 봐 걱정된다. 복제폰이 사용됐을 가능성은. “KT는 무단 소액결제 재발 방지를 위해 3개월간 사용 이력이 없는 초소형 기지국(펨토셀) 4만 3000여대의 연동을 해지했고, 사기탐지시스템(FDS) 모니터링 등을 시행하고 있다. 지난 5일 이후 추가 피해는 확인되지 않고 있지만 혹시 불안하다면 ‘마이KT 앱’이나 KT 홈페이지(www.kt.com)에서 소액결제 한도를 0원으로 설정하거나 원천 차단할 수 있다. 대리점을 방문하거나 고객센터(080-722-0100)에 연락하는 것도 방법이다. KT는 앞서 복제폰을 만들 때 필요한 인증키 값은 유출되지 않았다고 밝혔으나, 서버 침해로 이 또한 유출됐을 가능성이 생겼다. 출처가 불분명한 문자와 메시지의 링크(URL)를 클릭하지 말고, 지문이나 안면 인식과 같은 보안성이 높은 생체 인증 등을 추가로 결합한 이중 인증 체계를 설정해야 한다.” -결국 유심을 교체해야 안전한 거 아닌가. “유심을 교체하면 기존 정보를 통한 추가 악용을 차단할 수 있다. 현재 KT는 무단 소액결제 사건과 관련해 개인정보 유출 우려가 있는 2만여명의 고객을 대상으로 유심 무상 교체를 진행하고 있다. 온라인(앱과 홈페이지) 신청 후 택배로 받거나 대리점을 직접 방문해도 된다. 이들을 뺀 다른 고객들은 현재로선 유심 교체가 유료다. 금액이 부담스럽다면 무료로 지원되는 유심보호 서비스에 가입할 수 있다. 전 고객 정보가 유출된 정황이 드러난다면 SK텔레콤처럼 전체 유심 무상 교체를 실시할 수도 있다. KT의 올 2분기 기준 이동통신 가입자 수는 1984만 2000명이다.” -무단 소액결제 피해자인데 다른 통신사로 옮기고 싶다. 위약금은 어떻게 되나. “KT는 위약금 면제를 공식 발표하지 않았지만 ‘전향적으로 검토 중’이라고 했다. 서버 해킹 조사 결과에 따라 SK텔레콤처럼 전체 고객을 대상으로 일정 기간 위약금을 면제할 가능성도 있다.”

고객 297만명의 개인정보가 유출되는 대규모 해킹 사고가 발생한 롯데카드가 유출 규모를 축소해 보고한 데다 ‘암호화된 정보’라며 사건의 심각성도 낮게 평가한 것으로 드러나 피해자들의 공분이 커지고 있다. 대주주 MBK파트너스의 ‘단기 성과주의’에 대한 비판도 제기된다. 21일 금융권에 따르면 롯데카드는 금융감독원·금융보안원 조사 과정에서도 유출 규모나 내용을 인정하지 않아 사건을 키운 것으로 알려졌다. 해킹범들이 빼돌린 정보가 암호화된 정보이기 때문에 개인정보 유출이 아니라고 주장했다는 것이다. 롯데카드 관계자는 “의도적으로 지연을 야기한 것은 아니다”라고 설명했다. 롯데카드는 지난 1일 유출 규모를 1.7기가바이트(GB)로 보고했지만 금융당국 합동조사 결과 실제 유출된 데이터는 200GB에 달했다. 고객 28만명의 카드 비밀번호와 보안코드(CVC) 등 민감 정보가 포함된 것으로 드러났다. 사태의 근본 원인으로는 정보보안 투자 부족이 지목된다. 국민의힘 강민국 의원실에 따르면 금융권 전체 임직원 가운데 정보기술(IT) 인력 비중은 11% 수준으로 최근 몇 년간 제자리걸음을 하고 있다. 롯데카드의 임원 45명 가운데 IT 담당은 3명(7%)으로 업계 최하위권이다. 특히 대주주인 MBK파트너스 책임론이 불거지고 있다. MBK파트너스가 2019년 롯데카드를 인수한 뒤 단기 성과에만 집중하면서 정보보호 투자가 뒷전으로 밀린 게 아니냐는 지적이다. 롯데그룹은 이날 “롯데카드는 롯데그룹에 속한 계열사가 아닌데도 불구하고 고객 오인으로 인한 브랜드 가치 훼손이 심각한 수준에 이르고 있다”고 밝혔다. 롯데는 2019년 롯데카드를 MBK파트너스에 매각했다. 금융당국도 ‘사모펀드식 경영’에 대한 제도적 보완이 필요하다는 입장이다. 국민의힘 이헌승 의원실에 따르면 정부 의뢰로 한국금융연구원이 수행한 연구에서는 사모펀드의 불투명한 경영을 막고 시장 규율을 강화하기 위한 대책이 제시됐다. 이와 관련, MBK파트너스는 “롯데카드는 매년 정보보안 및 IT 투자를 꾸준히 확대했다”고 해명했다. 조좌진 롯데카드 사장의 지난 18일 대국민 사과에도 피해자 공분은 가라앉지 않는 분위기다. 조 사장은 기자간담회에서 “보안 패치 업데이트 안내가 2017년 내려왔는데 이를 놓쳤다”고 인정한 바 있다. 피해자들의 집단소송 움직임도 본격화하고 있다. 2200명에 달하는 피해자가 카페를 통해 집단소송 참여 의사를 밝혔다.

과기부·금융위 등에 업무 흩어져KT·롯데카드 사태도 따로 맡아안보실 3차장이 컨트롤타워지만칸막이 해소·신속 대응 역할 미흡美·EU 등 선진국은 한곳서 총괄 해킹 위협은 국경은 물론 공공·민간을 가리지 않는다. 그러나 정부 대응은 공격당한 업종을 따져 가며 기관별로 ‘각개전투’를 펴는 등 갈수록 정교하고 은밀해지는 사이버 공격에 제대로 대응하지 못하고 있다. 초국가·초산업적 해킹 위협에 맞서기 위한 역량이 분산되지 않도록 사이버전(戰) ‘컨트롤타워’를 제대로 세워 총력 대응에 나서야 한다는 지적이 나오는 까닭이다. 21일 정부에 따르면 KT와 롯데카드에서 발생한 해킹 사고에 두 기관이 개별 대응하고 있다. 통신사 KT에 대해선 과학기술정보통신부 산하 한국인터넷진흥원(KISA), 금융사 롯데카드에 대해선 금융위원회가 관리·감독하는 금융보안원(FSI)이 각각 사고 경위를 조사 중이다. 지난 20일 KT·롯데카드 해킹 사건 관련 정부 합동 브리핑에서도 과기정통부는 KT 해킹에 대해서만, 금융위는 롯데카드 해킹에 대해서만 답하며 단절된 모습을 보였다. 한국이 사이버 공격 세력의 ‘샌드백’ 신세로 전락했는데도 조사 영역을 놓고 칸막이를 세워 둔 탓에 해당 기관은 자기 영역에서 일어난 일만 들여다보고 있다. 공공·안보 분야에서 발생하는 해킹 사건은 국가정보원 산하 국가사이버안보센터(NCSC)가 담당한다. 반면 정보기술(IT) 선진국들은 범정부 대응 역량을 최대한 집중하는 구조를 갖췄다. 미국은 국토안보부(DHS) 산하 사이버보안·인프라보안국(CISA)이 연방정부와 주정부, 민간 부문의 사이버 위협을 예방·대응한다. CISA가 국방부, 연방수사국(FBI), 중앙정보국(CIA), 국가안보국(NSA)뿐만 아니라 구글·마이크로소프트·아마존 등 민간까지 참여하는 사이버방어협의체(JCDC)를 구성해 대응한다. 유럽연합(EU)은 EU사이버보안청(ENISA)이 회원국을 겨냥한 사이버 위협에 맞선다. 영국은 정부통신본부(GCHQ) 산하 국가사이버보안센터(NCSC)가 국방부와 함께 통합 사이버·전자전 사령부 신설을 추진 중이다. 일본은 사이버시큐리티센터(NISC)를 개편해 국가사이버통괄실(NCO)을 지난 7월 발족했다. 국내에 사이버전 대응 컨트롤타워가 없는 건 아니다. 지난해 신설된 대통령실 국가안보실 3차장이 과기정통부·금융위·국정원의 대응을 지휘하게 돼 있다. 하지만 막상 동시다발적 해킹 사태가 벌어지자 범정부 차원 해킹 대응에 존재감을 드러내지 못하고 있다. 염흥렬 순천향대 정보보호학과 명예교수는 “국가안보실이 사령탑 역할을 할 수 있도록 인력을 확대하고, 미국 CISA가 하는 역할을 KISA가 하도록 해 민간 부문의 해킹 대응 권한을 강화해야 한다”고 제언했다. 익명을 요구한 한 보안 전문가는 “침해 사고 분석, 최신 사이버 공격 기법과 같은 기술적인 부분에선 정보 공유와 조율이 핵심”이라며 “민간 분야 해킹 대응에서 금융사·비금융사 구분을 허물어야 한다”고 말했다.

무단 소액결제 사건으로 불거진 KT의 보안 부실 문제가 더욱 확대되는 모습이다. KT의 서버 침해 정황이 확인되면서 가입자의 개인정보가 유출됐을 가능성이 커지는 가운데 무단 소액결제 피해가 발생한 지역도 당초 알려진 것보다 훨씬 범위가 넓은 것으로 파악되고 있다. 관련 사실을 인지한 뒤 발표나 신고하는 데 시간이 걸리면서 ‘축소·늑장 대응’이라는 지적도 나온다. 21일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 전날 KT로부터 받은 ‘인증 시간 기준 피해 지역 자료’에 따르면 무단 소액결제가 발생한 지역에는 경기 광명·부천·과천시, 서울 금천·영등포구, 인천 부평구 등 경찰의 수사 범위를 넘어 서울 동작구와 서초구, 경기 고양시 일산동구까지 포함돼 있다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실도 많은데 이제야 주요 정보를 내놓는 것이 이해되지 않는다”고 지적했다. 이에 대해 KT는 “(언급된) 피해 지역은 (범행이 발생했을 것으로) 보이는 ‘추정 위치’로 수사를 통해 확인이 필요하다”는 입장을 밝혔다. KT에서 서버 침해 흔적이 발견되면서 개인정보가 무더기로 빠져나갔을 가능성도 제기된다. KT는 지난 18일 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다. 지난 4월 SK텔레콤 해킹 사고 이후 외부 보안 전문 기업에 의뢰해 전사 서버를 약 4개월에 걸쳐 조사한 결과인데, 어떤 정보가 유출됐는지는 향후 민관 합동조사단의 조사 결과를 기다려 봐야 한다. 서버 해킹과 이번 무단 소액결제 사건의 연결성을 규명하는 것도 과제다. KT는 불법 초소형 기지국(펨토셀)을 통해 빼돌린 정보만으론 소액결제를 할 수 없으며 복제폰 가능성은 없다는 입장이었지만 서버가 해킹당하면서 해커나 혹은 해커 조직이 서버 해킹을 통해 필요한 정보를 빼돌려 복제폰을 만든 다음 무단 소액결제에 사용했을 가능성도 배제할 수 없다. 일각에선 KT의 대응에도 문제가 있다고 지적한다. 최수진 국민의힘 의원이 확보한 KISA 침해 사고 신고에 따르면 KT가 이번 서버 침해 사고를 인지한 시점은 지난 15일 오후 2시였으나 KISA에 신고한 건 사흘 후인 18일 오후 11시 57분이었다. KT는 “보안 업체의 점검 결과 보고서를 내부에서 검증하는 데 시간이 필요했다”고 했지만 신고를 9시간 앞둔 같은 날 오후 3시 공식 브리핑에서도 서버 해킹 사실을 따로 언급하지 않았다. 이에 대해 KT 측은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고, 서버 점검은 정보보호최고책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족으로 정보 공유가 안 돼 발생한 일이라고 밝혔다. 올해 SK텔레콤에 이어 KT, 롯데카드까지 정보 유출 사고가 잇따라 발생하면서 보안에 관한 위기의식도 높아지고 있다. 최경진 가천대 인공지능·빅테이터정책연구센터장은 “그동안 보안 투자에 소극적이었다는 사실이 드러난 사건”이라며 “(펨토셀과 같은) 디지털 자산을 관리하는 것에도 관심을 기울여야 한다”고 제언했다. 정부는 기업들이 고의로 침해 사고 사실을 늦게 신고하거나 신고하지 않을 경우 과태료 등의 처분을 강화할 계획이다. 또 보안 사고 발생 시 사회적 파장에 상응하는 책임을 지도록 징벌적 과징금 도입을 추진한다.

해킹 사고가 발생한 롯데카드가 롯데 계열사로 오인돼 브랜드 가치가 심각하게 훼손됐다며 롯데그룹이 강력히 항의하고 나섰다. 21일 롯데는 “롯데카드 해킹 사태로 인한 브랜드 가치 훼손과 고객 신뢰도 추락 등 막대한 피해를 보았다”며 “롯데카드에 강력히 항의하고 고객 피해 최소화를 위한 신속한 조치를 요구했다”고 밝혔다. 롯데카드의 대주주는 MBK파트너스로, ‘롯데’ 브랜드를 사용하고 있지만 그룹과는 별도로 운영되고 있다. 롯데는 2017년 지주사 체제 전환 이후 금융·보험업 지분 보유가 불가능해져 2019년 롯데카드를 MBK파트너스에 매각했다. 다만 상당수 고객이 여전히 롯데카드를 그룹 계열사로 인식하고 있어 롯데는 회복이 어려운 유무형의 피해를 보고 있다고 주장했다. 롯데는 “롯데카드 고객 이탈이 늘어나게 되면 협력 관계를 맺고 있는 롯데 사업장에서의 매출 감소도 불가피하며 무엇보다 롯데카드를 롯데 계열사로 오인하는 고객들이 느끼는 신뢰 하락이 뼈아프다”고 지적했다. 롯데카드가 그룹 임직원 전용 카드 발급도 맡아와 이번 사고로 일부 임직원 개인정보도 유출됐다. 롯데카드는 지난 18일 ‘사이버 침해사고에 대한 대표이사 사과’라는 제목의 공문을 그룹에 전달하며 사과의 뜻을 밝혔다. 조좌진 롯데카드 대표이사는 공문에서 “롯데그룹과 임직원들에게 심려를 끼쳐드린 점에 대해 깊이 사과드린다”며 “사고로 인한 혼잡이 종료될 때까지 대표이사로서 끝까지 직접 챙기겠다”고 약속했다.

KT 무단 소액결제 피해 지역이 당초 알려진 곳 외에 서울 서초구·동작구, 경기 고양시 일산동구 등에서도 발생했던 사실이 뒤늦게 파악됐다. 서울 서남권과 인근 경기 지역에 집중됐던 것으로 파악됐던 무단 결제 피해가 서로 떨어진 지역에서도 확인됨에 따라 KT 소액결제 이용자에 대한 전수조사 및 수사 확대 필요성이 커졌다. 20일 KT가 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)에게 제출한 인증 시간 기준 피해 지역 자료에 따르면 알려진 곳들 외에도 서울 동작구, 서초구, 고양시 일산동구, 영등포구 등이 포함됐다. 동작·관악·영등포·서초·광명·금천·일산동구·과천·부천소사·부평 KT는 처음 피해가 발생한 시점을 8월 5일로 파악했는데 이때부터 8일까지 나흘간 서울 동작구, 관악구, 영등포구 일대에서 15명이 26차례에 걸쳐 962만원의 피해를 봤다. 범행을 저지른 이들은 8일, 그리고 주말을 건너뛴 11일 이틀에 걸쳐서는 서울 서초구에서 3명을 상대로 모두 6차례에 걸쳐 무단으로 소액결제 227만원을 가로챘다. 12~13일에는 경기 광명시에서, 15일에는 서울 금천구, 20일 경기 고양시 일산동구, 21일 경기 과천시에서 무단 소액결제 범행을 이어갔다. 나흘간 범행을 잠시 멈춘 뒤 26일부터 기존에 알려진 대로 금천구, 광명시, 경기 부천시 소사구·부평구 등에서 다시 활동했다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실들도 많은데 이제야 찔끔찔끔 주요 정보를 내놓는 것이 이해되지 않는다”고 비판했다. 심지어 KT 무단 소액결제 사건이 처음 알려진 9월 4일과 5일에도 100건 가까운 무단 결제가 있었던 것으로 나타났다. 비정상적인 결제 시도를 KT가 차단하기 직전까지 무단 소액결제가 상당 규모 진행된 것이다. 최초로 알려진 4일 이용자 36명에게서 36건의 피해(2499만원)가 있었고, 5일 11명이 14건(550만원) 무단 소액결제 피해를 봤다. 패스앱·카카오톡 무단 접속 피해 제보도…KT 소극대응 논란 KT는 4일과 5일에 피해 건수가 없었다고 국회에 보고한 바 있다. 이후 1차 발표에서 피해자 수를 278명으로 집계했다가 4일과 5일 피해를 뒤늦게 포함해 362명으로 정정했다. 피해 건수는 1차 집계 당시 527건에서 764건으로 늘었다. KT는 “5일 새벽 비정상적인 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다”고 밝혔다. KT 피해 현황이 초기 발표에서 점점 확대되는 것은 당초 자의적으로 자동응답전화(ARS)에 국한해 피해를 파악하고 소극적으로 대응하기 때문이라는 지적이 끊이지 않고 있다. KT는 해킹범이 피해자들의 휴대전화로 갔어야 할 ARS 신호를 탈취해 소액결제에 성공한 사례에만 주목해 피해 현황을 ARS 수신 상황만 따져 집계하고 있다. 그러나 연합뉴스에 따르면 이 사건을 최초로 제보한 경기 광명시의 A씨는 자신이 진행하지 않은 패스(PASS) 인증을 제삼자가 한 기록이 남아있다고 전했다. 또 카카오톡 무단 로그인을 겪은 피해자들도 있었다. 해킹범이 ARS 신호 탈취 외에 다른 범행 수법도 썼을 가능성까지 KT가 고려했어야 하는 것 아니냐는 지적이다. 황 의원은 “KT 해킹 사태의 전모가 밝혀지면 밝혀질수록 KT가 거짓 변명만 늘어놓았다는 사실이 드러나고 있다”면서 “지금이라도 소액결제가 이뤄진 모든 고객에게 직접 결제 현황을 고지하고 피해 전수조사에 나서야 한다”고 촉구했다. 그러면서 “고의적 축소 은폐 시도를 반복한 KT에 대해서는 SKT 때보다 더 강력한 제재와 함께 피해 배상 강제가 이뤄져야 한다”고 강조했다.

금융당국이 롯데카드 해킹 사고와 관련해 현장검사를 연장했다. 피해 고객들 사이에서는 집단소송 움직임도 확산하고 있다. 19일 금융권에 따르면 금융감독원은 당초 이날 종료 예정이던 롯데카드 현장검사를 연장하기로 했다. 1차 검사에서 고객정보 유출 규모를 확정한 데 이어, 2차 검사에서는 보안 취약점과 법 위반 여부를 집중 점검 중이다. 검사 결과는 제재심의위원회 안건으로 상정돼 기관 제재 수위에 반영된다. 금융위와 금감원은 이번 사고를 “중대한 위법”으로 규정했다. 금융위 관계자는 “허술한 보안체계에 대해 강도 높은 책임을 물을 예정”이라며 최고 수위 제재를 예고했다. 업계에선 기관 경고 이상 중징계와 일부 영업정지, 임원 해임 권고 가능성이 거론된다. 사고 경위는 늑장 대응 논란을 낳았다. 해킹은 지난달 14일 발생했으나 롯데카드가 서버 이상을 인지한 것은 같은 달 26일이었다. 당국 신고는 9월 1일에야 이뤄졌고, 공식 발표는 지난 18일로 해킹 발생 후 37일이나 지나서였다. 피해 규모는 297만명에 달한다. 이 중 28만명은 카드번호·유효기간·보안코드(CVC)까지 유출돼 부정사용 위험이 크다. 나머지 269만명은 CI값, 내부식별번호 등 부차적 정보가 유출됐다. 롯데카드는 아직 실제 부정사용 사례는 확인되지 않았다고 설명했다. 피해 고객들의 집단소송 움직임도 커지고 있다. 네이버 카페 ‘롯데카드 개인정보유출 집단소송카페’ 회원 수는 1300명을 넘어섰고, 이 중 700명 이상이 소송 참여 의사를 밝혔다. 과거 카드사 유출 사건에서 1인당 7만~10만원 수준의 배상 판례가 있었던 만큼 이번에도 대규모 배상 책임이 예상된다. 이번 사태로 보안 인증 제도의 실효성 논란까지 나오고 있다. 롯데카드는 지난달 12일 금융보안원으로부터 최고 수준 보안 인증인 ISMS-P를 받았지만, 같은 날 첫 해킹 시도가 이뤄졌기 때문이다. 금융권 안팎에선 “인증 제도를 근본적으로 손봐야 한다”는 목소리가 커지고 있다. 조좌진 롯데카드 대표는 “피해액 전액을 보상하겠다”며 사임 가능성까지 언급했지만, 여론은 가라앉지 않고 있다. 금융권 관계자는 “개별 회사 차원을 넘어 금융권 전반의 신뢰를 흔드는 사안인 만큼 제재 수위가 높아질 수밖에 없다”고 말했다.