[ 김덕엽 칼럼니스트 ] 한국의 통신 3사는 매달 요금을 받아 가며 ‘국가 기반 인프라’를 자임해왔다. 그러나 최근 연쇄적으로 드러난 사건들은 그 지위가 과연 정당한가를 근본에서부터 의심하게 만든다.
지난 8월 SK텔레콤은 사상 최대 규모의 개인정보 유출 사고로 막대한 과징금을 맞았다. 유출 범위는 수천만 명대에 이르고, 유심 인증키와 IMSI 등 핵심 식별정보까지 빠져나갔다.
개인정보보호위원회 조사 결과에선 더 참담한 것으로 나타났다. 방화벽 설정 미흡, 계정·패스워드 관리 부실, 노후 운영체제 방치 등 ‘기초도 안 된’ 보안 통제가 적나라하게 확인됐다. 이 정도면 사고가 아니라 관리 부재의 결과다.
그렇다면 나머지 두 회사는 다를까. 아니다. 2023년 LG유플러스는 약 30만 명의 고객정보를 불법거래 사이트로 흘려보냈고, 제재를 받았다. 보안 거버넌스와 통지의무 이행 모두에서 실패한 전형적 사례다. 그리고 지금 이 순간 KT에서는 특정 지역 이용자들을 겨냥한 무단 소액결제 피해가 연쇄적으로 발생하고 있다.
정부가 민관합동조사단을 꾸려 현장조사에 착수했으며, 일각에선 KT가 파악할 수 없는 기지국 ID를 악용한 이른바 ‘유령 기지국’ 수법 가능성까지 제기된다. 피해 신고가 확산하는 동안, 무선접속 계층의 이상 징후 탐지는 제때 작동하지 않았다.
회복탄력성(resilience) 측면도 낙제다. 2021년 KT 전국망 장애 당시 회사는 처음엔 DDoS라 했다가 몇 시간 뒤 라우팅 오류였다고 말을 바꿨다. 거짓 해명인지, 내부 파악 능력의 부재인지, 어느 쪽이든 공공 인프라 운영자로서 용납하기 어렵다.
문제의 공통 분모는 분명하다. 방화벽·패치·계정관리를 포함한 기본 보안 태세가 구조적으로 약하다. 그리고 거버넌스 실패, CISO·CPO의 실질적 권한과 이사회 레벨 감독이 허울뿐이거나 사후 약방문이다.
특히 사고의 초기 공시와 신고, 원인 규명 과정에서 소비자가 신뢰할 최소한의 정보도 제때 나오지 않았고, 사고가 터질 때마다 ‘대국민 사과’와 ‘투자 계획’만 되풀이될 뿐, 동일 유형의 취약점이 재현된다.
글로벌 위협 환경은 더 매서워졌고, NFC 릴레이·‘고스트 탭’ 류의 모바일 결제 사기는 고도화되는데, 국내 통신망의 경우 무선접속·USIM·결제 연계 구간의 가시성과 이상탐지는 여전히 과거형이다.
따라서 처방도 ‘숫자 나열’이 아니라 원리의 회복이어야 한다. 제재는 선언이 아니라 억지력이어야 하므로, 매출 연동의 대규모 과징금과 징벌적 손해배상을 실효화해 “보안은 비용”이라는 낡은 회계를 근본부터 바꿔야 한다.
인증을 위한 서류심사 수준을 넘어 핵심망·USIM·HSS 등 국민 데이터의 ‘급소’에 대해 독립적 상시감사를 법제화하고 요약 결과를 주기적으로 공시하도록 해야 한다. 통지는 ‘72시간 내’라는 문구로 끝나서는 안된다. 징후 인지 즉시 고객 알림과 함께 무상 유심교체, 요금 감면, 부정결제 전액 선(先)보상까지 자동 발동되는 프로토콜을 표준화해야 한다. 조직 구조도 바뀌어야 한다. CISO·CPO가 이사회 리스크위원회에 직접 보고하고, 대형사고 시 임원 개인책임이 실질적 제재로 이어지는 체계를 마련해야 하며, 연 1회 보여주기식 점검이 아닌 상시 레드팀을 제도화해야 한다.
마지막으로 통신·카드·PG·단말 제조사가 참여하는 합동 위협 인텔 공유체계를 법정기구급으로 격상해, ‘유령 기지국’ 의심 신호나 이상 결제 패턴을 분 단위로 교차 공유·차단하는 상시 협업으로 전환해야 한다.
통신 3사는 말한다. “투자하겠다, 다시는 없겠다.” 그러나 국민은 이미 수차례 같은 말을 들었다. 인프라 사업자는 신뢰를 ‘말’이 아니라 ‘제어 수준’으로 증명해야 한다. 지금 필요한 것은 미사여구가 아니라, 방화벽 규정 한 줄, 패치 주기 하루, 접근권한 표 하나가 바뀌는 변화다. 그리고 그 변화가 공개 지표로 확인되어야 한다.
이 나라의 통신을 ‘국민 인프라’라고 부르고 싶다면, 이제는 스스로 그 자격을 입증하라. SKT만의 문제가 아니었다. KT, LG유플러스, 그리고 정부와 규제기관까지, 모두가 책임의 무게를 외면할 수 없다. 오늘도 통신망 위를 흐르는 것은 데이터만이 아니라 국민의 신뢰다. 그 신뢰를 더는 값싸게 소비하지 마라.
*외부 필진 기고는 본지 편집 방향과 다를 수 있습니다.
