[뉴스웍스=박광하 기자] KT가 최근 서버 해킹 사실을 인정하면서 대규모 개인정보 유출 가능성에 직면했다. 정보보호 업계에서는 통신사 시스템 보안과 고객 본인인증 체계를 개선하라고 목소리를 높였다.

KT는 18일 오후 11시 57분 서버 침해 흔적 4건과 의심 정황 2건을 한국인터넷진흥원(KISA)에 신고했다. SK텔레콤 해킹 사태 이후 외부 보안업체에 의뢰해 4개월간 전사 서버를 점검했고, 그 과정에서 해킹 사실을 확인했다는 것이다.

서버 해킹을 통해 고객들의 개인정보가 대규모로 유출됐을 가능성도 점쳐지고 있다. 지난달 말부터 이달 초까지 벌어진 KT 무단 소액결제 해킹 사건에서 서버 해킹으로 유출된 개인정보가 사용된 게 아니냐는 것이다. KT는 소액결제 피해 사건 2차 브리핑에서 불법 기지국 노출로 2만30명의 가입자 정보가 유출된 정황이 있다고 밝혔다. 노출 정보는 전화번호, 유심(USIM) 정보인 가입자식별번호(IMSI), 휴대전화 정보인 단말식별번호(IMEI) 등이다. 그런데 이들 정보만으로는 소액결제 시 본인인증을 우회하는 것이 어렵다고 업계는 지적하고 있다. 결국 해커가 서버 해킹 등 다른 경로를 통해 고객 정보를 빼돌린 게 아닌가 하는 추측이 나오고 있다.

정보보호 업계는 서버 해킹과 불법 기지국을 통해 유출된 개인정보가 결합될 경우 '패스(PASS)' 등 통신사 운영 인증 체계가 무력화될 수 있다고 경고했다. 따라서 통신사 인증 체계만 활용, 의존하는 걸 지양하고 다양한 인증 수단을 2개 이상 함께 사용하는 다중인증(MFA)을 도입해야 한다고 의견을 제시했다.

기존 경계 기반 보안 모델의 한계를 지적하며 제로트러스트 보안 체계 도입 필요성 또한 강조했다. 현재 공공, 민간에서는 내부망과 외부 인터넷을 분리한 '망분리' 정책을 사용하고 있다. 그런데 업무 편의성 등을 목적으로 외부에서 내부망으로 접속할 수 있는 '가상사설망(VPN)' 등의 조치를 사용 중인 곳이 적지 않다. 악의적인 공격자가 이런 연결 포인트의 취약점을 노려 내부망에 접근할 수 있다는 게 경계 기반 보안 모델의 한계라고 업계는 설명했다.

업계는 내부와 외부를 구분하지 않고 모든 접속 요청을 지속 검증하는 제로트러스트 보안 체계를 도입해 말단 기기부터 철저한 인증 절차를 거치는 게 안전하다고 강조한다. 정부 전산망 보안 모델인 N2SF를 민간도 도입해 데이터 중요도에 따라 보안 수준을 차등 적용하는 방안도 거론되고 있다.

류제명 과기부 2차관은 19일 정부서울청사 브리핑에서 "보안 체계를 원점에서 재검토해 근본적 대책을 마련할 것"이라며 "기업이 침해 사실을 지연 신고하거나 은폐하면 과태료를 부과하고, 정부가 직접 정황을 확보하면 기업 신고 여부와 관계없이 조사할 수 있도록 제도를 강화하겠다"고 말했다.