[보안칼럼] SKT 해킹, 지능형 지속 위협의 전형적 사례…모두의 경각심 필요

SK텔레콤 해킹 사건은 4월 19일에 '발견'되었지만, 이는 단지 해킹이 드러난 날짜일 뿐이다. 실제 침투와 데이터 탈취는 훨씬 이전부터 꾸준히 진행됐을 가능성을 배제할 수 없다. 이번 사건은 단순한 1회성 공격이 아니다. 이는 'APT(Advanced Persistent Threat)', 즉 '지능형 지속적 위협'이라고 잠정적으로 볼 수 있다. APT는 한 번에 공격하고 끝나는 것이 아니라, 시스템 내부에 은밀히 침투한 뒤 장기간에 걸쳐 중요한 정보를 빼내는 방식이다. 이는 디도스처럼 즉각적인 혼란을 일으키는 공격과는 본질적으로 다르다.

무엇보다 국민들에게 “당장 이로 인한 피해는 발생하지 않는 것으로 보인다”고 안심만 시키려 해서는 안 된다는 점이다. 이번처럼 데이터가 탈취될 경우, 피해는 시간이 지나면서 서서히 나타날 수 있다. 이러한 위험성을 분명하고 상세히 설명하고, 혼란과 온갖 억측들을 갖게 만들기 보다는 오히려 국가 전체적으로 경각심을 가질 수 있도록 해야 할 필요가 있다. "당장 피해가 없으니 괜찮다"는 식으로 접근하면, 시간이 지나며 사건이 잊혀지고, 뒤늦게 발생할 수 있는 문제에 제대로 대응할 기회를 잃을 수 있다. APT방식의 공격을 통해 탈취한 정보나 데이터를 곧바로 활용하는 경우보다는 장기간에 걸쳐 새로운 공격에 활용하려는 전략을 구사하는 경우가 태반이기 때문이다.

특히 탈취된 정보는 단순한 유심카드나 전화번호에 그치지 않고, 이름, 주민등록번호, 주소, 결제 정보, 통화 기록, 위치 데이터 등 민감한 개인정보까지 포함됐을 수 있다. 통신사는 단순한 민간기업이 아니라, 국가 주요 인프라를 담당하는 기관이다. 이런 기관이 뚫리면 개인 피해를 넘어 국가 전체의 통신 안정성과 사회 시스템에도 큰 위기가 발생하게 마련이다.

미국에서도 비슷한 사례가 있었다. 대표적인 것이 2021년 T-Mobile 해킹 사건이다. 이 사건으로 7,600만 명 이상의 현재 및 과거 고객들의 개인정보가 유출됐다. 노출된 정보에는 이름, 생년월일, 주소, 전화번호는 물론 사회보장번호(SSN), 운전면허번호(ID 정보), 그리고 휴대폰 IMEI·IMSI 식별번호까지 포함돼 있었다. T-Mobile은 해킹 사실을 2021년 8월, 보안업체와 언론을 통해 다크웹 판매 정황을 통보받고 인지했으며, 사실을 확인한 뒤 비교적 신속하게 고객들에게 공지하고, 2년간 무료 신원 보호 서비스를 제공했다. 그러나 이용자 입장에서는 이미 일부 정보가 다크웹에 유출된 상태였기 때문에, 스스로 대비할 충분한 시간을 갖지 못했다는 점이 큰 문제로 지적됐다.

특히 T-Mobile은 모든 데이터를 강력히 암호화하고 저장하지는 않았던 것으로 보인다. 이름, 생년월일, 주소 등 기본 정보는 복호화 과정을 거치지 않고도 해커들이 쉽게 활용할 수 있었던 것으로 알려졌다. 이는 데이터 보호 수준이 충분하지 않았다는 비판으로 이어졌고, 결과적으로 T-Mobile은 법적 책임을 부인했음에도 대규모 집단 소송에서 2024년 3억5천만 달러(약 4,700억 원) 규모의 합의에 동의하게 되었다. 피해 고객 중 실제 금전적 손실을 입증한 경우 최대 2만5천 달러까지, 그 외 고객은 25달러(캘리포니아 거주자는 최대 100달러)의 보상을 받을 수 있게 되었다. 대규모 통신사조차 보안 허점과 미흡한 데이터 보호로 인해 얼마나 심각한 피해로 이어질 수 있는지를 단적으로 보여준 사례이다.

이번 SKT 사건은 더욱 주의가 필요하다. 현재 다크웹상에서 판매 정황이 보이지 않는 것은 단순한 금전적 목적이 아닌, 정치적·군사적 의도가 깔린 적대국가 지원 해커일 가능성을 시사한다. 이는 훨씬 더 중대한 위협이다. 그러나 여기서 끝이 아니다. 현재 직접 공격한 해커가 바로 탈취한 정보를 활용하지 않더라도, 이 데이터는 향후 다양한 경로로 노출될 가능성이 존재한다. 실제로 해킹을 감행한 그룹이 다른 해킹 그룹에 의해 다시 침입당하거나, 혹은 더 관련성 높은 조직에게 데이터를 판매하는 등 예상치 못한 방식으로 2차, 3차 유출이 일어날 수 있다. 결국 시간이 지나면서 우리 정보가 외부에 광범위하게 확산될 위험성은 여전히 존재한다. 그렇기 때문에 이번 사건을 단순히 "당장 피해가 없다"고만 인식해서는 안 되며, 지금부터 지속적이고 체계적인 대응이 절실하다.

SKT만의 문제가 아니다. KT, LG유플러스 등 모든 통신사 및 정부가 함께 힘을 합쳐, 전 국민을 대상으로 사이버 보안 인식 제고와 교육에 적극 나서야 할 필요가 있다. 이번에는 SKT였지만, 앞으로 어떤 통신사가 또다시 같은 위협에 노출되지 않는다는 보장은 없다. 따라서 통신사들은 내부 보안 체계를 전면적으로 점검하고, 더욱 강화해야 한다. 특히 이번 사건을 계기로, SKT를 포함한 모든 통신사가 고객 정보를 저장할 때 강력한 암호화가 제대로 적용되고 있었는지를 철저히 검토해야 한다. 개인정보는 단순히 보관하는 것이 아니라, 만일 탈취되더라도 해커가 즉시 내용을 확인할 수 없도록 고강도 암호화가 적용되어야 한다.

이용자 차원에서도 일상적인 보안 습관을 갖추는 것이 중요하다. 예를 들어, 주요 계정의 비밀번호를 주기적으로 변경하는 것뿐 아니라, 가능한 경우 2단계 인증(로그인 시 추가 인증)을 활성화하고, 더 나아가 비밀번호 자체를 없애는 패스키(passkey) 같은 새로운 인증 수단을 적극 활용하는 방법이 있다. 또한 의심스러운 링크나 첨부파일은 절대 클릭하지 않고, 본인 인증이나 결제 요청이 있을 때는 반드시 출처를 다시 확인하는 습관을 생활화해야 한다.

이번 사건은 단순히 한 기업의 문제가 아니라, 우리 사회 전체가 사이버 보안 의식을 한 단계 높여야 하는 계기로 삼아야할 사건이다. APT 방식의 공격으로 인한 데이터 탈취 사건은 그 피해가 한순간에 드러나지 않고, 시간이 지나면서 서서히 그 피해가 고도화되고 지능화될 것임을 전 국민들에게 주지시킬 필요가 있다.