SKT·KT·LG유플러스까지…이통사 해킹에 줄줄이 뚫렸다

KT의 무단 소액결제 사고와 관련해 개인정보 유출 사실이 드러나면서, 이동통신사를 겨냥한 해킹의 위험성이 다시금 조명되고 있다. 지난 10년간 국내 주요 이동통신사들이 잇따라 대규모 정보 유출 사고를 겪으면서, 통신망 보안 체계에 대한 우려도 커지고 있다.

가장 최근인 2025년 4월, SK텔레콤에서는 국내 이동통신사 가운데 역대 최대규모의 개인정보 유출 사건이 발생했다. 해커는 지난 2021년 8월부터 장기간에 걸쳐 내부 시스템에 악성 프로그램을 심고, 2025년 4월 18일 통신가입자 서버(HSS)에 저장된 2,324만4,000여 명의 개인 정보를 탈취했다. 유출된 정보는 휴대전화번호와 가입자식별번호(IMSI), 유심 인증키 등 총 25개 항목에 이르는 것으로 파악됐다. SK텔레콤은 2022년에 해킹 징후를 인지했음에도 보안 점검과 차단 조치를 제대로 수행하지 않아, 개인정보보호위원회로부터 1,348억 원이라는 역대 최대 과징금을 부과받았다.

KT 역시 해커들의 표적이 된 전력이 있다. 2012년에는 가입자 873만 명의 정보를 포함하는 대형 해킹사건이 발생했고, 이어 2014년에는 신종 해킹 프로그램을 이용한 범행으로 1,200만 명의 고객 정보가 유출됐다. 당시 해커 조직은 탈취한 정보로 유통영업에 활용하며 휴대전화 1만 1,000대를 불법 개통·판매해 약 115억 원의 매출을 올린 것으로 밝혀졌다. 이들 중 500만 건의 개인정보가 실제 대리점에 불법 유통되기도 했다.

또한 LG유플러스도 2023년 해킹 피해를 입었다. 그해 1월, 약 30만 건의 고객 정보가 불법 유통 사이트로 넘어갔고, 유출 항목 중에는 휴대전화번호, 생년월일, 유심 고유번호 등 민감한 정보가 다수 포함돼 있었다. 이에 LG유플러스는 개인정보보호위원회로부터 과징금 68억 원과 과태료 2,700만 원을 부과받았지만, 실제 침입 경로 등 정확한 유출 원인은 끝내 규명되지 못했다.

최근에는 보안 전문 커뮤니티인 미국 '프랙'을 통해 KT와 LG유플러스가 북한과 연관된 해킹 조직인 ‘김수키’의 공격 대상으로 지목됐다는 의혹도 제기된 바 있다. 프랙은 KT의 보안 인증서와 LG유플러스의 내부 시스템 소스코드 등이 유출됐을 가능성을 제시하며 관련된 보안 허점을 지적했으며, 이들 통신사는 현재 개인정보보호위원회의 조사를 받고 있다.

보안 전문가들은 이동통신사가 전국민을 대상으로 서비스를 제공하는 만큼, 보유한 개인정보의 양과 중요성 또한 막대하다는 점에서 해커들에게는 매우 가치 높은 목표가 된다고 입을 모은다. 특히 알려진 사례 외에도 기업이 인지하지 못한 채 지나간 해킹 시도는 훨씬 많을 수 있다는 경고가 나온다. 따라서 단순한 방어 체계를 넘어, 보안 위협에 선제적으로 대응할 수 있는 지속적이고 정교한 보안 시스템 구축이 필요하다는 지적이 힘을 얻고 있다.

이 같은 해킹 사고가 반복되면서, 향후 통신사에 대한 보안 감독 및 책임 강화 조치가 뒤따를 가능성이 높다. 동시에 정부 차원의 종합적 보안 가이드라인 마련과 기술적 투자가 병행돼야 실질적인 피해 예방이 가능할 것으로 보인다.