잇따른 해킹 논란? “해외는 이렇게 한다는데”… 소비자들 ‘속 터지는’ 이유 보니

또 터진 통신사 고객정보 해킹설
잇따른 해킹에 통신사 불신 확산
해외는 강력 대책, 국내는 미온적

SK텔레콤 고객정보 해킹 의혹이 제기되면서 통신사 보안 문제가 다시 도마 위에 올랐다.

해외 선진국들이 유사 사례 발생 후 강력한 조치를 취한 것과 달리, 국내에서는 여전히 소비자 보호를 위한 근본적 대책 마련이 미흡하다는 지적이 이어지고 있다.

SK텔레콤 “해킹 주장은 전혀 사실 아니다”

15일 ‘스캐터드 랩서스$’라는 해커조직은 텔레그램 채널을 통해 SKT의 고객 데이터를 해킹해 판매에 나섰다고 주장했다.

이들은 SK텔레콤의 고객 ID, 이름, 전화번호, 이메일, 주소, 생년월일, 가입일 등을 보유하고 있다며 “100GB 분량의 샘플 데이터를 1만 달러에 판매하겠다”고 했다.

SK텔레콤은 즉각적으로 반박에 나섰다. 회사 관계자는 “해커가 다크웹에 올린 샘플데이터, 웹사이트 캡처 화면, FTP 화면 등을 분석한 결과 당사에 존재하지 않는 웹사이트를 올린 것을 비롯해 모든 내용이 사실이 아닌 것으로 확인됐다”고 밝혔다.

이어 “해커가 주장하는 100GB의 데이터 역시 유출된 적이 없다”며 경찰에 수사를 의뢰했다고 덧붙였다.

해킹 조직은 삼성전자와 LG전자, MS, 엔비디아 등을 해킹한 해커그룹 ‘랩서스’와 유사한 이름을 사용했지만, 같은 집단인지는 확인되지 않았다.

SK텔레콤이 해당 주장을 전면 부인하면서 혼란을 야기하기 위한 거짓 주장일 가능성에 무게가 실리고 있다.

해외서도 통신망 취약점 노린 해킹 빈번

이러한 문제는 비단 국내만의 현상이 아니다. 통신망의 허점을 노린 결제 사고는 미국·일본 등 선진국에서도 종종 발생했다. 2022년 미국에서는 암호화폐 거래소 FTX 해킹 사태가 있었다.

해커 일당은 대형 통신사 AT&T의 본인인증 취약점을 노려 FTX 직원 명의의 SIM을 발급받아 막대한 자금을 외부로 이체했다.

미국에서는 2019년에도 AT&T와 버라이즌 직원 및 협력업체 관계자가 뇌물을 받고 심 스와핑 범죄에 가담해 기소되었다.

일본에서는 2020년 점유율 1위 통신사 NTT도코모에서 운영하던 전자결제 서비스 ‘도코모 계좌’에서 대규모 부정인출 사건이 발생했다. 공격자는 도용한 개인정보로 계좌를 만든 뒤 다른 사람의 예금을 무단으로 인출했다.

선진국은 강력 대응, 국내는 근본대책 부재

주목할 점은 해외 선진국들이 이러한 보안 사고에 어떻게 대응했는지다. 미국과 일본은 사고 발생 후 보안 조치를 대폭 강화해 추가 피해를 효과적으로 차단했다.

미국은 2024년 SIM 교체나 번호 이동을 처리하기 전 신원확인 절차를 의무화했고, 이러한 시도가 발생하면 처리 전에 고객에게 반드시 통지하도록 했다.

일본도 신속하게 대응했다. 피해 발생 직후 신규 등록을 일괄 중단하고, 결제 계좌 개설 과정에서 2단계 인증을 도입해 본인확인 체계를 강화했다.

유럽 국가들도 선제적인 조치를 취했다. 유럽연합(EU)은 2018년 이동통신 요금에 합산돼 청구되는 디지털 소액결제의 상한선을 건당 50유로, 월 300유로로 제한했다.

이러한 해외 사례와 달리, 국내 통신 업계는 근본적인 취약점을 개선하기보다는 허술한 ARS 인증을 고수하고, 소비자 분쟁이 발생하면 앱스토어 운영자나 결제대행사(PG)에 책임을 돌려왔다는 비판을 받고 있다.

이는 국내에서도 소액 결제의 허점을 악용한 전자금융사기나 스미싱 범죄 사례가 오래전부터 보고되어 왔음에도 불구하고, 근본적인 대책 마련이 미진했다는 점에서 더욱 아쉬움을 남긴다.

소비자들은 선진국처럼 확실한 대책 마련과 함께 피해 예방을 위한 실질적인 조치가 시급하다고 입을 모으고 있다.