TTESays

[TE머묾] 캐나다 통신사 해킹사고 및 대응 그리고 대한민국 통신사 침해사고

Donghwi Shin

Published: 15:50, 19 Sep 2025 (Updated: 14:40, 10 Feb 2026)

[이미지: AI Generated by TheTechEdge]

캐나다와 한국의 주요 통신사들이 사이버 공격에 노출되고 있다. 캐나다 사이버보안 센터와 미국 FBI는 2025년 초부터 캐나다 통신사 네트워크 장비가 ‘설트타이푼’(Salt Typhoon)으로 추정되는 그룹에 의해 침해됐다고 경고했다. 반면 한국 통신사 해킹 배후는 현재까지 특정 국가와 명확히 연결되지 않았다. SK텔레콤과 KT는 각각 유심 정보 유출과 내부 시스템 침해 사고를 겪으며 통신망 보안 중요성이 커졌다.

캐나다 사이버보안 센터는 2025년 2월 캐나다 통신사 3곳의 네트워크 장비가 설트타이푼으로 추정되는 해커들에게 침해됐다고 밝혔다. 그러면서 공격자들이 CVE-2023-20198 취약점을 이용, 설정파일을 탈취하고 네트워크 트래픽 감시에 사용되는 터널을 설정한 정황을 확인했다고 설명했다.

설트 타이푼은 미국과 호주 등 여러 국가 통신망 해킹에도 관여한 정황이 있으며, 미국 내 수백만 명 개인정보 탈취 및 일부 정부 인사 통신 감시에 연루된 것으로 알려졌다. 캐나다 정부는 이 공격을 국가 단위 정보 수집과 감시에 목적을 둔 정교한 작전으로 보고 있다.

캐나다 정부는 통신 사업자의 네트워크 장비 및 경계 장치를 지리적·정책적 특성상 국가 간 정보 수집 및 첩보에 주요 대상으로 정했다. 통신사 인프라는 대량의 통신 데이터, 고객 위치 정보, 사용자 행태 등 고급 정보의 중심지이며, 이들을 장악하면 특정 인사 감시, 통신 내용 도청, 위치 추적 등 정보활동에 결정적인 우위를 차지할 수 있다고 판단했다. 특히 네트워크 경계에 위치한 라우터, 방화벽, VPN 장비 등은 외부 인터넷과 내부 네트워크 연결 지점으로 공격자가 침입하거나 내부 데이터 유출에 활용 가능한 자산으로 취약점 패치 지연, 기본 설정 미흡, 불충분한 접근 제어 등은 해커에게 지속적이며 은밀한 접근을 허용하여 심각한 위험을 초래한다고 분석했다.

위와 같은 판단에 따라 캐나다는 ‘사이버 보안 준비도 목표’(Cyber Security Readiness Goals, CRGs)를 통해 기반시설 전반의 보안 수준을 향상시키는 체계적 접근을 추진 중이다. CRGs는 네트워크 자산 식별, 취약점 완화, 다중인증, 보안 로그 중앙화, 이상행위 탐지 및 신속 대응까지 36개 구체적 목표를 제시한다. 캐나다 사이버보안 센터는 특히 네트워크 경계 장비인 라우터, 방화벽, VPN 등에 집중해 운영자들이 제조사 보안 권고를 준수하고, 정기적 설정 변경 검토 및 패치 적용을 의무화하도록 권장한다. 또한 CRGs는 미국 사이버보안 인프라안전국(CISA)과 연계해 북미 인프라 보안 표준을 조화시켜 통신사들이 일관된 보안 관리를 할 수 있도록 돕고 있다.

사이버 보안 준비도 목표’(Cyber Security Readiness Goals, CRGs) Cyber Security Readiness Goals: Securing Our Most Critical Systems 문서 표지

2025년 한국 SK텔레콤과 KT의 해킹 사건에서 중국 등과의 직접적인 연관성은 현재까지 확인되지 않았다. SK텔레콤 유심 정보 유출 사건은 악성코드 BPFDoor를 활용한 복잡한 사이버 공격으로, 내부 보안 취약점과 늑장 대응이 문제로 지적됐다. KT 또한 내부 보안 미비로 고객 정보 유출 등의 피해를 입었다.

우리는 SK텔레콤 사건 이후 다수 보안 강화 정책을 도입했다. SK텔레콤 해킹 사고의 원인으로 외부 침투 및 다수 서버에 BPFDoor 악성코드가 설치된 점, 보안 업데이트 미흡, 초기 대응 지연이 꼽힌다. 정부 조사 결과 SK텔레콤은 정보보호 의무 위반으로 과태료를 부과받고, 전 부문 보안실태 진단과 분기별 점검 실시 명령을 받았다. 아울러 SK텔레콤은 보안 투자에 5년간 5천억 원 이상을 투입하며 전면적 보안 역량 강화를 약속했다. 다중 인증 강화, 이상 징후 탐지시스템 도입, 내부 직원 보안 교육 강화 등이 포함됐다. 과연 이후 이러한 투자와 세부 내용에 대해 다시 들여다보는 상황이 도래할 것인가? 지금까지 우리는 다시 들여다보는 경우가 많지 않았다.

대한민국 정부는 통신사 중요 시설을 국가 기반시설로 지정하는 사안을 검토하고 있다. 이는 통신망이 국민 일상생활과 국가 경제에 미치는 영향이 크기 때문이다. 그러나 기반시설 지정은 이 문제 해결의 출발점에 불과하다. 지정 자체가 전반적인 보안 강화나 해킹 방지의 전부가 될 수 없다는 인식이 필요하다. 설비와 시스템 전반의 근본적 취약점 해소, 충분한 인력과 기술 투자, 신속 대응 프로세스 구축 등이 필수적이다. 단순 지정만으로 사이버 위협을 완전히 차단할 수 없다.

하나의 사건으로만 바라볼 것이 아니라 보안 행정이라는 차원에서 전체를 바라봐야 한다. 우리의 보안 행정은 대체로 사건 후속 조치 위주라 할 수 있다. 마치 피로 쌓아올린 민주주의라고 할까? 아직까지 체계적이고 선제적 기반시설 전반의 보안 수립에는 갈 길이 남았다. 보안 문화 정착과 전문 인력 확충, 민관 협력 강화, 국제 공조 확대 역시 중요 과제로 남아있다는 것을 잊지 말아야 한다.

SK텔레콤 해킹 사고와 캐나다 통신사 침해를 비교하면, 캐나다는 국가 주도하에 체계적인 사이버 보안 준비도 목표를 수립해 인프라 전반의 취약점 개선과 실질적 대응을 강화하는 중이다. 반면 한국은 개별 사건 대응과 피해 복구 중심이었으며, 기반시설 지정은 지금 논의중인 단계이다.

캐나다의 CRGs와 같은 구체적이고 이행 가능한 표준 수립이 한국에 시사하는 바가 크다고 생각한다. 이는 단순 지정에 머무르지 않고, 지속적 감시, 평가, 개선을 통해 통신 인프라 보안을 뒷받침하는 필수 기반이다. 국가 기반시설으로서 통신망은 단순 기업 자산을 넘어 국민과 국가 안보에 직결된 핵심 자원이다. 따라서 글로벌 수준의 표준과 협력 시스템 구축, 기업과 이용자의 보안 인식 함양, 신속하고 투명한 사고 대응 체계 마련이 무엇보다 중요하다.

이번 사례는 국내외 통신망 해킹의 위험성과 대응 격차를 극복하기 위한 국가 차원의 통합적·장기적 보안 체계 도입 필요성을 극명히 보여준다. 통신 보안은 기술적 과제인 동시에 정치·사회·경제적 안정을 좌우하는 중대한 국가 과제로 자리매김하고 있다.