Security

세계적으로 통신사 노린 해킹 이어지고 있어...

CheifEditor

28 Jun 2025 — 16 min read

💡

Editor Pick
전세계 들끓는 통신사 사이버공격에 국가별 대응은 '제각각'
터지는 보안사고, 정부&업계 대응 효과성은 글쎄?
무늬만 처벌금액 높아...처벌은 여전히 솜방망이

최근 전 세계적으로 통신사 및 인터넷 제공업체를 대상으로 한 사이버 공격이 증가하고 있으며, 이는 개인 정보 유출과 국가 안보 위협으로 이어지고 있습니다. 여러 국가에서 발생한 주요 해킹 사례와 각국의 대응 방식을 분석하고, 이를 통해 한국의 데이터 유출 대응 현황을 비판적으로 고찰해 봅니다.

주요 통신사 해킹 사례 및 각국의 대응

1. 미국 통신사 해킹 (Salt Typhoon)

2024년 8월 27일, 미국 내 최소 두 개 주요 인터넷 서비스 제공업체가 중국 해커에 의해 침해되었다는 보도가 나왔습니다. 이후 AT&T, Verizon, Lumen Technologies, T-Mobile을 포함해 최소 9개 미국 통신사와 수십 개 다른 국가들이 해킹의 영향을 받은 것으로 알려졌습니다. 해커들은 100만 명 이상의 사용자에 대한 통화 및 문자 메시지의 메타데이터(날짜, 시간, IP 주소, 전화번호 등)에 접근할 수 있었으며, 법원 승인을 받은 도청 시스템에도 접근할 수 있었습니다. 이 공격은 중국 국가안전부(MSS)와 연결된 Salt Typhoon이라는 APT 그룹의 소행으로 지목되었습니다. 미국 정부 관계자들은 이 침해를 "미국 역사상 최악의 통신 해킹"이자 "최악의 방첩 침해"라고 불렀습니다.

이 사건에 대한 대응으로 미국 정부는 Salt Typhoon에 "직접 관여"한 상하이의 인커청(Yin Kecheng)과 쓰촨쥐신허네트워크과기유한회사(Sichuan Juxinhe Network Technology Co. Ltd.)에 제재를 가했습니다. 미 DoD, FBI, 뉴질랜드, 캐나다, 호주 사이버 보안 기관은 통신 인프라 강화를 위한 공동 가이드라인을 발표하며 통신 회사 엔지니어들에게 보안 모범 사례 이행을 촉구했습니다. 상원의원 Ron Wyden은 FCC에 통신사 보안 요구사항 준수 및 연간 취약점 테스트를 의무화하는 법안 초안을 발의했습니다. 중국 측은 이러한 주장이 중국을 "비방하고 중상하기 위한" 미국의 노력이라고 부인했습니다.

AT&T 역시 2023년 890만명의 고객 정보가 유출된 데 이어 이듬해에는 1억900만명의 통화 및 문자 기록을 해킹당했습니다.

2. 한국 통신사 해킹 (SK텔레콤)

2025년 4월, SK텔레콤이 대규모 해킹 공격을 당한 사실이 밝혀졌습니다. 해커는 인터넷망으로 침입해 각각의 방화벽을 뚫고 SK텔레콤 해망을 거쳐 관리망까지 뚫은 뒤 가장 심층부인 내부망까지 접근했습니다. 특히 주목할 만한 점은 자료를 빼낸 후에는 침입 경로 등의 흔적을 모두 지우고 빠져나가 SK텔레콤의 자체 초기 조사가 난항을 겪었다는 점입니다.

이번에 유출된 정보는 9.7GB에 달하는 것으로 파악되고 있습니다. 일각에서는 이번 공격이 장시간에 걸쳐 이루어졌을 가능성도 제기합니다. 이른바 APT 공격 방식으로, 한참 전에 피싱 이메일이나 서버 취약점 등을 통해 서버에 침투해 상당 기간 잠복해 있었을 수 있다는 것입니다.

SK텔레콤은 가입자 수가 약 2500만명인 만큼, 그간 세계적 수준의 보안 조치를 갖췄다고 강조해왔습니다. 하지만 해커는 이 회사가 고객 이름·연락처·생년월일 등 민감한 개인 정보를 보관한 서버에 몰래 악성 코드를 심는 데 성공했고, 실제 일부 정보를 빼냈습니다. 더 충격적인 사실은 SK텔레콤이 유출 사고 전까지 최소 3년간 악성 코드가 심어져 있었다는 사실을 인지하지 못했다는 점입니다.

해킹 주체에 대해서는 중국계 해커 집단의 소행일 가능성이 제기되고 있습니다. 과거 중국 해커들이 수년간 전 세계 주요 기관을 공격하는 데 사용한 것으로 알려진 악성 코드 'BPF도어'가 사용됐다는 점이 그 근거입니다. (Refer to. Detailed Analysis of BPFDoor targeting South Korean Company) 북한 소행이라는 추정도 나오고 있습니다.

국내외 전문가들은 이번 사건의 해커가 고도의 전문성과 상당한 자금력을 가진 집단이라고 보고 있으며, 국가적 지원을 받는 대규모 해커 조직일 가능성이 크다고 분석하고 있습니다(Refer to. 3년 전 뚫렸는데 아직 드러난 피해 없어… SKT 해킹, 3가지 의문점)

3. 미국 통신사 배상 사례

미국에서 발생한 통신사 해킹 사건의 경우, 상당한 규모의 소비자 배상이 이루어진 사례가 있습니다. T-Mobile은 2021년 발생한 대규모 해킹 사건으로 소비자들에게 총 4천600억원에 달하는 배상을 실시했습니다. 또한 AT&T도 해킹 사건 이후 다수의 소송에 직면해 있는 것으로 나타났습니다.

반면 한국의 경우, 카카오 '오픈채팅 개인정보 유출' 사건에서 151억원이 최대 배상액인 것으로 나타났습니다. 이는 미국의 배상 사례와 비교했을 때 상당히 낮은, 약 30분의 1 수준에 머물고 있어 국내 개인정보 유출 사건에 대한 배상 체계가 미흡함을 보여줍니다.

4. 말레이시아 데이터 유출

CyberSecurity Malaysia 보고서에 따르면, 말레이시아에서는 정부 부문이 데이터 침해 사건의 가장 큰 비중을 차지했지만, 통신 부문이 데이터 유출의 주요 원천으로 지목되었습니다. 특히 4,620만 명의 모바일 가입자 정보가 유출될 가능성이 있는 사건이 발생했으며, 이는 신원 도용, 금융 사기, 평판 손상, 국가 안보 및 개인 프라이버시 침해 등의 심각한 결과를 초래할 수 있습니다. 당시 유출된 정보에는 가입자의 개인 정보가 포함되어 있을 수 있으며, 이는 단일 출처에서 발생했을 가능성이 제기되었습니다.

말레이시아 개인정보 보호법(Personal Data Protection Act 2010) 위반 가능성이 언급되었으며, 피해 고객은 개인정보보호위원회에 불만을 제기할 수 있다고 합니다.

유럽에서는 GDPR(General Data Protection Regulation) 위반에 대해 데이터 보호 감독 기관(DPA)이 상당한 금액의 벌금을 부과하는 사례가 다수 있습니다. 이는 직접적인 해킹 사건뿐만 아니라 부적절한 데이터 처리, 미흡한 보안 조치 등 다양한 데이터 보호 의무 위반에 적용됩니다.

TikTok은 EU 데이터를 중국으로 이전하는 과정에서 실패한 보호 조치로 아일랜드 DPC로부터 5억 3천만 유로의 벌금을 부과받았습니다.
Meta는 부적절한 비밀번호 보안 문제로 아일랜드 DPC로부터 9,100만 유로의 벌금을 부과받았습니다.
Google LLC는 프랑스에서 YouTube 사용자가 쿠키 수락만큼 거부를 쉽게 할 수 없도록 한 것에 대해 CNIL로부터 9천만 유로의 벌금을 부과받았습니다.
독일의 온라인 전자제품 판매업체인 Notebookbilliger.de는 영상 감시 사용이 부적절했다는 이유로 독일 DPA로부터 1,040만 유로의 벌금을 부과받았습니다.
오스트리아 국영 우편 서비스는 GDPR 미준수로 오스트리아 DPA로부터 950만 유로의 벌금을 부과받았습니다.
스페인의 통신사 Vodafone España는 2021년에 반복된 GDPR 위반으로 815만 유로의 벌금을 부과받았습니다.
스페인의 BBVA 은행은 고객 동의 없이 SMS 마케팅을 하고 개인정보 처리 방침에 관련 정보를 모두 포함하지 않은 두 가지 GDPR 위반으로 총 500만 유로의 벌금을 부과받았습니다.
독일의 채팅 서비스 Knuddels.de는 데이터 유출로 인해 암호화되지 않은 사용자 정보가 노출된 사건으로 2만 유로의 벌금을 부과받았습니다.
Marriott International은 보안 침해로 영국 정보 위원회(ICO)로부터 1,840만 파운드의 벌금을 부과받았습니다.

이러한 유럽 사례들은 데이터 보호 의무 위반에 대해 감독 기관이 부과할 수 있는 벌금의 규모가 매우 크다는 것을 보여줍니다. 기업의 규모나 위반의 심각성에 따라 수백만 유로에서 수억 유로까지 벌금이 부과될 수 있습니다. 이는 기업에게 데이터 보호의 중요성을 강조하고 안전성 확보 조치의 필요성을 각인시키는 강력한 유인으로 작용합니다.

국제 사례와 한국의 대응 비교 및 비판적 시각

앞서 살펴본 국제 사례와 비교했을 때, 한국의 데이터 유출 대응은 몇 가지 특징적인 모습을 보입니다. 특히 최근 발생한 SK텔레콤 해킹 사례를 중심으로 살펴보겠습니다.

SK텔레콤 해킹 사태에 대한 대응

2025년 4월 19일 밤 확인한 SK텔레콤 침해사고에 대해 정부는 다음과 같은 행정지도를 내렸습니다.

현 상황을 국민에게 투명하게 정보 공개
유심 물량 공급 안정화 시점까지 신규 모집 전면 중단
디지털 취약계층에 대한 유심보호서비스 일괄 적용
해킹 사고에 따른 이용자 피해 100% 보상 책임
위약금 면제, 손해배상, 피해보상 시 입증책임 완화 등 이용자 피해보상 방안 마련
영업 전산 장애 발생 시 즉각 상황 공유·신속 복구
해외 출국자 지원 인력 대폭 확대

그러나 SK텔레콤의 대응은 불충분하고 불투명했다는 비판을 받고 있습니다. 회사는 피해자 식별의 어려움을 이유로 일주일 가까이 가입자들에게 해킹 피해를 통보하지 않았습니다. 또한, 4월 20일 해킹 사실을 신고하면서도 정부가 제안한 기술지원, 피해지원, 후속조치지원 등 대다수 지원을 거부했습니다. 이러한 소극적 대응은 사안 자체를 축소하려 했다는 비판을 받고 있습니다.

해킹 사태의 영향으로 2025년 6월 초 기준 약 100만 명에 육박하는 이용자가 SK텔레콤을 떠난 것으로 나타났으며, 시장 점유율 40%가 붕괴될 가능성도 제기되고 있습니다.

국제 사례와 한국 대응의 비교

미국의 Salt Typhoon 사례와 비교할 때, 한국 정부의 대응은 주로 행정지도와 피해보상 중심으로 이루어지고 있습니다. 미국이 국가 안보 차원에서 제재 부과, 법안 발의, 국제 공조 등 다면적 접근을 취한 것과는 차이가 있습니다. 현재 과기정통부 장관은 해커의 신원과 침해 규모 등을 조사 중이며, 조사 결과는 2025년 6월 말에 나올 것으로 예상된다고 밝혔습니다.

유럽의 GDPR 벌금 사례와 기존 침해사고에 대한 벌금이나 과징금을 비교하면 현저히 낮다고 볼 수 있습니다. 이는 유럽에서는 데이터 보호 의무 위반에 대해 기업 매출의 상당 부분에 해당하는 거액의 벌금을 부과하는 것과 대조적입니다

한국 대응의 문제점 및 개선 필요

초기 대응의 불투명성 : SK텔레콤은 해킹 발생 후 정부 지원을 거부하고, 피해 사실을 즉시 알리지 않는 등 초기 대응이 불투명했습니다. 이는 미국이나 유럽의 사례처럼 투명한 정보 공개와 신속한 대응이 이루어지지 않았음을 보여줍니다.
소비자 피해 대응 미흡: 유심 교체 대란, 홈페이지·앱·전화 예약 먹통 등 실질적인 소비자 피해 대응이 미흡했습니다. 이로 인해 소비자들의 불만이 고조되었고, 대규모 이탈로 이어지고 있습니다.
법적 책임 불명확 : 현재까지 SK텔레콤에 대한 구체적인 법적 제재나 책임 부과 여부가 명확하지 않습니다. 유럽의 GDPR이나 미국의 강력한 제재 조치와 비교할 때, 한국의 데이터 유출에 대한 법적 책임 메커니즘이 상대적으로 약할 수 있습니다.

결론적으로, 한국의 데이터 유출 대응은 행정지도와 피해보상 중심으로 이루어지고 있으나, 초기 대응의 불투명성, 소비자 피해 대응 미흡, 법적 책임의 불명확성 등의 문제점이 드러났습니다. 향후 통신과 같은 국가 핵심 인프라 관련 데이터 유출에 대해서는 미국과 같은 국가 안보 차원의 접근이나 유럽과 같은 강력한 법적 제재 메커니즘을 참고하여 보다 체계적이고 강력한 대응 체계를 구축할 필요가 있습니다. 민관합동조사단의 조사 결과가 발표되는 6월 말 이후, 보다 구체적인 제재와 재발 방지 대책이 함께 언급되길 바랍니다.

세계적으로 통신사 노린 해킹 이어지고 있어...

CheifEditor