해커 공격보다 더 무서운 게 내부 부실…“인력확충·내부통제 강화 시급” 작성일 12-07 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">SKT·KT이어 LGU+도 고객정보 유출<br>내부 부실에 유통·금융권까지 사고<br>기본 관리 절차 무너져 IT강국 기반 흐들</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="p52M9xfzvq"> <figure class="figure_frm origin_fig" contents-hash="11e73660cbcf39c0479b2022032ef394db5ffa5d39cec2e2e511ebf88148a6b9" dmcf-pid="U1VR2M4qCz" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 용산의 LG유플러스 본사. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/07/dt/20251207170547609drsc.jpg" data-org-width="640" dmcf-mid="0zgwoDNdWB" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/07/dt/20251207170547609drsc.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 용산의 LG유플러스 본사. 연합뉴스 </figcaption> </figure> <p contents-hash="1f67f49033452efd9973f4c0df24533adcc8597341b8358318b43de4e5b13753" dmcf-pid="utfeVR8BW7" dmcf-ptype="general"><br> 통신·금융·유통·보안 등 업종을 가리지 않고 잇따라 발생한 정보 유출 사고의 원인이 부실한 ‘내부 관리’로 드러나면서 국내 기업 전반의 내부통제 체계가 위험 수위에 도달했다는 지적이 나온다. 기본적인 관리 절차가 무너져 발생한 대형 정보보안 사고가 반복되면서 기업과 임직원들의 ‘보안 불감증’이 정보기술(IT) 강국의 기반을 흔들고 있다는 우려가 나온다.</p> <p contents-hash="a0f4b39c9bd698628ce68353958a76e2622ac5d37fc461e1aebe60c4e0cb0c01" dmcf-pid="7F4dfe6bWu" dmcf-ptype="general">7일 IT 업계에 따르면 LG유플러스는 최근 통화 앱 ‘익시오’ 서비스 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정 오류가 발생해 고객 36명의 통화 정보 일부가 다른 이용자 101명에게 노출됐다. 지난 2일 오후 8시부터 다음 날 오전 10시59분까지 약 15시간 동안 익시오 앱을 신규 설치하거나 재설치한 이용자에게 정보가 새어 나간 것으로 파악됐다. 통화 상대방 전화번호와 통화 시각, 통화 내용 요약 등이 포함됐다.</p> <p contents-hash="9f5acddf86bcce0e441413804b39c3aba593faadea8cab52b79d41c353bcaf86" dmcf-pid="z38J4dPKTU" dmcf-ptype="general">이번 사고 원인은 내부 운영 과정에서 발생한 작업자 실수로 나타났다. 내부 통제의 취약성이 여실히 드러났다는 평가다. LG유플러스 측은 3일 오전 10시경 문제를 인지한 직후 복구를 완료하고, 개인정보보호위원회에 자발적으로 신고했다. 회사 관계자는 “기능 업그레이드 과정에서 부족함이 있었던 점 고객분들께 무척 송구하고 죄송스럽다”며 “업무 프로세스를 점검하고 개선하겠다”고 말했다.</p> <p contents-hash="61af30129a81930e19c58c650b09e4913e88fcda9b092cea37eaf90677ce0b3a" dmcf-pid="q06i8JQ9Cp" dmcf-ptype="general">통신3사(SK텔레콤·KT·LG유플러스)는 수천만 가입자의 통신 이력과 실시간 위치 정보, 인증 데이터 등 고도의 민감 정보를 보유하고 있어 보안 사고 발생 시 피해가 대규모로 확산될 가능성이 높다. 특히 최근 통신 서비스가 금융, 인증 사물인터넷(IoT) 등 다양한 영역과 결합되면서 보안 수준에 대한 요구는 더욱 높아지고 있지만, 연쇄적으로 보안 사고가 발생하면서 우려를 키우고 있다.</p> <p contents-hash="ac0c3204fe531ee17ab5e151ca43db225504077d98675c1477c285c992d04207" dmcf-pid="BCFBtq0HC0" dmcf-ptype="general">실제로 SK텔레콤은 지난 4월 가입자 2300만여 명 이상의 전화번호와 가입자식별번호(IMSI), 유심(USIM) 등 개인정보가 유출되는 해킹 사고를 겪었고, KT 역시 지난 9월 펨토셀(초소형 기지국) 관리 부실로 고객들이 무단 소액결제 피해를 입는 등 내부 관리 미비가 반복적으로 드러났다. LG유플러스 또한 계정 권한 관리 시스템(APPM) 취약성 의혹이 제기되며 통신업계 전반의 보안 리스크가 부각되고 있다.</p> <p contents-hash="7a39f0c496722e536ca5ac8161e5ae672c6bc8e46958f8927f90c40d15dd7675" dmcf-pid="bh3bFBpXS3" dmcf-ptype="general">유통업계 1위 업체 쿠팡의 초대형 사고도 역시 내부 통제 실패에서 비롯됐다. 중국 국적의 퇴직자의 서버 접근 권한을 퇴사 즉시 회수하지 않아 3300만여 명의 개인정보가 유츌됐다. 퇴사 이후 시스템 접근 권한과 인증키를 폐기·갱신하지 않았다는 데 대해 기본을 지키지 않았다는 비판이 나온다. 외부 공격보다 내부 인력 통제 실패가 더 치명적일 수 있음을 보여준 사례다.</p> <p contents-hash="d0a63f41c7c717a1d1d869f1cff8d6feca8d0a0dc0430eb91ec4758722278d60" dmcf-pid="Kl0K3bUZWF" dmcf-ptype="general">보안 기업 SK쉴더스에서도 관리 부실이 드러났다. 회사가 운영하던 해커 유인 시스템(허니팟)에 내부 직원의 개인 지메일 계정이 자동 로그인된 상태로 연결돼 있었다. 해커들은 이 직원의 메일함에 접근해 고객사 정보를 외부로 유출했다. 이로 인해 SK텔레콤 등 민간기업 120곳과 다수의 공공기관 정보가 다크웹에 게시되는 피해가 발생했다.</p> <p contents-hash="066cbb38c4f30d7f883f04dd49923d4744de07ceedd8b5894a940c6fa1355ddf" dmcf-pid="9Sp90Ku5Wt" dmcf-ptype="general">금융권에서도 내부통제 실패 사례가 반복되고 있다. 롯데카드는 해킹 피해 발생 후 17일이 지나서야 사고를 인지했다. 보안 업데이트를 제 때 하지 않아 사태를 키웠다는 지적을 받았다. 이번 사고로 297만 명의 개인정보가 유출됐고, 이 중 상당수는 카드번호·유효기간·카드 뒷면 3자리 숫자(CVC)·비밀번호 등 결제에 직결되는 정보까지 포함돼 향후 어떤 피해가 발생할지 모르는 상황이다.</p> <p contents-hash="0f62485d8e24c139abbc41cd7909187bc5d40a196bb208e7a499f16b910e3f3d" dmcf-pid="2vU2p971T1" dmcf-ptype="general">전문가들은 수준 높은 보안 시스템을 갖추고 있어도 기본적인 내부 관리 체계가 허술하면 사고는 언제든 재발할 수 있다고 지적한다.</p> <p contents-hash="624f84e25b9ed3c031289d854f55b5ac52359c1d3feb0ebca1e53a4773f40126" dmcf-pid="VTuVU2ztS5" dmcf-ptype="general">장항배 중앙대 산업보안학과 교수는 “담당 인력이 제한돼 있어 내부 실수나 악의적 행위가 발생해도 제 때 인지하거나 교차 점검하기 어려운 구조가 문제”라며 “설마 하는 안일한 인식 속에 접근 권한을 범용적으로 설정하는 등 관리 소홀 사례가 반복되는 만큼 인력 확충과 내부 통제 강화가 시급하다”고 말했다.</p> <p contents-hash="4cb6d9cdd2a4e95916208519b79d97b0af24ce5f58bbc7a465f55529c2c92abe" dmcf-pid="fy7fuVqFhZ" dmcf-ptype="general">이혜선 기자 hslee@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 [AI 안전성 평가] 'AISC'로 인공지능(AI)안전과 신뢰 증명 12-07 다음 “AI G3 달성하려면 클라우드 G3부터” 12-07 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
