쿠팡, KT, LG유플러스, 하이트진로, 블랙야크까지. 이름만 들어도 알 만한 대기업들이 연달아 해킹·개인정보 유출 사고를 내면서 “돈과 인력 가장 많은 기업들이 정작 보안에는 왜 이렇게 약하냐”는 소비자들의 불만이 나온다. 각 회사별 공격 방식은 다르지만 사건을 차례대로 놓고 보면 이들 기업들이 ‘보안의 기본’을 지키지 않았다는 것이 드러난다.

 

최는 발생한 쿠팡의 사례는 규모와 내용 면에서 가히 충격적이다. 3천370만 건에 달하는 고객 정보가 5개월 가까이 무단 조회·유출된 것으로 확인되면서, 사실상 “전 국민급 유출”이라는 표현까지 나왔다. 문제는 정보 보안에서 가장 기본이라고 여겨지는, 퇴사자 관리와 인증키 관리라는 가장 기초적인 단계에서 무너졌다는 점이다.

 

쿠팡 로그인 시스템에서 토큰을 찍어내는 ‘JWT 서명키’(signing key), 일종의 로그인 마스터 열쇠가 퇴사한 개발자 계정과 연동된 채 방치됐고, 이를 쥔 공격자는 정상 회원인 것처럼 보이는 가짜 로그인 토큰을 대량으로 만들어 고객 데이터베이스를 마음껏 들여다본 것으로 드러났다. 이름·전화번호·이메일·주소는 물론, 일부 배송 정보와 공동현관 비밀번호까지 함께 노출됐다는 점에서 후폭풍은 더 커졌다.

 

이번 사건은 세 가지를 시사한다. 첫째 퇴사자 계정과 권한을 제때 회수하지 못한 내부자 관리 실패다. 둘째 서명키를 주기적으로 교체하고 사용 범위를 최소화하는 ‘키 로테이션 문화’가 사실상 없었다는 것, 그리고 셋째, 수개월에 걸친 대량 조회를 탐지하지 못한 관제·모니터링 체계의 부실이다.

 

국회에선 “회사 문 닫아도 할 말 없는 수준”이라는 비판까지 나왔다. 회사 규모는 글로벌 수준으로 커졌지만, 보안 인프라는 여전히 스타트업 시절에 머물러 있었다는 지적이 나오는 이유다.

 

◇ KT·LG유플러스, 기간 통신망도 예외 아니었다

 

KT 사례는 조금 복잡하다. 하나는 휴대폰을 노린 불법 펨토셀(가짜 기지국) 소액결제 사건, 또 하나는 지난해 이미 드러난 ‘BPF도어(BPFdoor)’ 악성코드 감염 사실을 1년 넘게 신고하지 않았던 은폐 논란이다.

 

펨토셀은 원래 실내 음영지역 해소용 초소형 기지국인데, 범죄 조직은 이를 불법 복제·조작해 KT 망에 붙이는 데 성공했다. 휴대폰은 신호가 가장 강한 기지국에 자동 접속한다는 특성을 악용해 이용자 단말을 가짜 기지국으로 유인했고, 그 사이를 오가는 인증·신원 정보를 가로채 소액결제에 악용한 것으로 조사됐다. 확인된 불법 펨토셀 수 대에 수만 명이 접속했고, 이 중 일부 이용자는 수백만 원 규모의 결제 피해를 입었다는 내용이 정부 조사에서 확인됐다.

 

더 심각한 건 KT의 장비·인증 관리 방식이다. 펨토셀 장비에 최대 10년짜리 인증서를 복사해 똑같이 써 온 탓에, 한 번 인증서를 탈취당하면 가짜 기지국도 “KT 정식 장비인 척” 망 안으로 들어올 수 있는 구조였다. 종단 암호화가 풀리는 구간에서는 가입자 식별번호, 단말기 식별번호, 전화번호 등이 평문으로 보였다는 점도 드러났다.

 

국가 기간통신망에서 가장 기본이 되어야 할 장비 인증·암호화 관리가 허술했다는 비판이 나오는 이유다. 여기에 더해 KT는 통신사·핵심 인프라를 노리는 지능형 지속 위협(APT) 공격에 쓰여 온 ‘BPF도어’ 악성코드와 웹셸에 서버 수십 대가 감염됐는데, 이를 2024년 중에 파악하고도 정부에 침해사고 신고를 하지 않고 백신만 돌려 조용히 덮으려 했다는 사실이 뒤늦게 밝혀졌다.

 

감염 서버에는 이름, 전화번호, 이메일, 단말기 식별번호 등 민감한 정보가 저장돼 있었다. “기간통신사업자의 보안·통제·보고 체계가 근본부터 무너져 있다”는 지적은 그래서 나온다.

 

 

LG유플러스는 “한 번 당하고 끝”이 아니었다. 2023년 초 이 회사는 대규모 DDoS(분산서비스거부) 공격과 함께 고객 인증 시스템이 뚫리면서, 29만7000여명의 개인정보가 유출된 것으로 조사됐다. 고객 인증 DB 서버의 관리자 계정 비밀번호가 오랫동안 초기값 그대로 방치돼 있었고, DB 접근 통제와 실시간 탐지 체계도 미흡해 공격자가 웹셸을 심어 데이터베이스에 직접 접근할 수 있었다.

 

여기에 디도스 공격 이전부터 60여개 이상의 핵심 라우터 정보가 외부에 그대로 노출돼 있었고, 네트워크 구간별 침입 탐지·차단 장비도 사실상 설치돼 있지 않았다는 정부 조사 결과가 나왔다. 결국 개인정보보호위원회는 LG유플러스에 과징금 68억원과 과태료 2천700만원을 부과했다.

 

그로부터 시간이 꽤 지났지만, 2025년에 또 다른 침해 의혹이 불거졌다. 해외 해킹 전문지 ‘프랙(Phrack)’에 따르면, LG유플러스 서버 접근제어 솔루션을 맡았던 협력사 ‘시큐어키’가 먼저 해킹을 당해 계정 정보를 탈취당했고, 공격자는 이 계정을 이용해 LG유플러스 내부 네트워크로 들어갔다. 이 과정에서 8938대 서버 정보와 4만2000여개 계정, 167명 직원 정보가 유출된 것으로 전해졌다.

 

그런데도 LG유플러스는 한동안 “침해 사실이 확인되지 않는다”며 정부의 신고 요청을 거부했고, 오히려 협력사만 한국인터넷진흥원(KISA)에 침해 신고를 한 사실이 드러나 논란이 커졌다. 결국 개보위와 과기정통부가 ‘인지 조사’에 착수하면서야 현재 본격적인 조사가 진행 중이다.

 

최근에는 AI 통화 앱 ‘익시오’에서 캐시 설정 오류로 36명 이용자의 통화 상대 전화번호·통화 시각·통화 내용 요약 등이 다른 이용자 101명에게 노출되는 사고까지 발생했다. 회사는 “해킹이 아닌 내부 설정 오류”이고 주민등록번호·여권번호·금융정보 등은 포함되지 않았다고 강조하며, 지침에 따라 72시간 내 개보위에 자진 신고했다는 점을 내세웠다.

 

하지만 2023년 해킹 유출, 2025년 협력사 계정 탈취 의혹, 그리고 이번 AI 서비스 구성 오류 사고까지 이어지면서, 통신사 중에서도 LG유플러스의 ‘보안 체질’이 근본적으로 약한 것 아니냐는 지적이 나온다.

 

 

◇랜섬웨어·웹보안 부실 앞에 멈춰선 제조·유통 대기업

 

하이트진로는 올해 새해 첫날부터 랜섬웨어 공격을 맞았다. 외부 해커가 내부망으로 침투해 회사 시스템 일부에 랜섬웨어를 설치했고, 그 과정에서 고객·임직원 정보가 암호화된 형태로 외부로 유출된 정황이 포착됐다. 회사는 “해당 정보는 암호화된 상태여서 위험이 크지 않다”고 강조했다. 그러나 랜섬웨어 공격에서는 암호화 전 원본 데이터를 먼저 빼간 뒤 내부 시스템을 잠가놓고 몸값을 요구하는 경우가 많기 때문에, 그 위험성이 결코 적지 않다.  

 

하이트진로 사례는 제조·식품·유통 대기업들도 더 이상 랜섬웨어 안전지대가 아니라는 점, 그리고 백업·망분리·복구체계가 실제로 제대로 작동하는지 냉정하게 점검해야 한다는 경고로 읽힌다.

 

블랙야크는 ‘고도화된 사이버 공격’과는 거리가 먼, 가장 기초적인 웹 취약점 공격에 무너진 사례다. 올해 3월 공식 홈페이지가 SQL(Structured Query Language, 구조화 질의 언어) 삽입 공격을 받으면서 관리자 계정 정보가 탈취됐고, 공격자는 이를 이용해 회원 34만여 명의 이름(닉네임), 성별, 생년월일, 휴대전화번호, 주소 뒷부분 등 개인정보를 한꺼번에 내려받았다.

 

이 사고로 개인정보보호위원회는 블랙야크에 13억9천만 원대 과징금과 함께 홈페이지 공표를 명령했다.

 

 

SQL 삽입 공격은 검색창·로그인창 등 웹사이트 입력창에 악성코드를 넣어 데이터베이스 쿼리를 조작하는, 웹 개발 단계에서 기본적으로 막아야 할 공격 기법이다.

 

그러나 블랙야크는 2021년 10월 홈페이지 개설 이후 관련 취약점 점검과 조치를 방치했고, 재택근무 등을 이유로 외부에서 관리자 페이지 접속을 허용하면서도 아이디·비밀번호 이외에 추가 인증 수단을 두지 않은 것으로 드러났다. 회원 정보를 담은 자료 파일을 별도 암호화 없이 서버에 보관한 정황까지 확인되면서, 업계에서는 “입력값 검증과 취약점 점검이라는 웹 보안의 첫 단추를 풀어놓은 채 영업만 해 온 셈”이라는 비판이 나온다. 일부 피해자들은 이미 집단소송 카페를 만들어 손해배상 청구에 나선 상태다.

 

한 정보보안 전문가는 대기업들의 연이은 해킹 피해 사태의 원인에 대해 “기본적으로 ‘안 해서’ 그런 게 아니라, 새로운 기술이 나오고 시스템이 나오는데 예전 방식만, 레거시 방식만 체크하고, 최신 점검 방식은 적용된 기술을 못 따라가고, 발전하지 못하고 있기 때문”이라고 지적했다.

 

그는 또 쿠팡이 서명키 인증과 같은 중요한 보안인증 체계를 건너 뛰었다고 암시했다.

 

그는 “쿠팡은 (회사) 규모가 큰 만큼 서버가 엄청날 것이고, 시간도, 돈도 드니까...", 그리고 "‘우리는 A와 B만 인증받겠다’고 하고, 인증하는 사람은 그것만 확인하고 끝났기 때문”이라며, “인증 범위에 해당하지 않으면 중대 보안 결함도 아니게 된다. 이번에 서명키 문제도, 인증 관리자의 점검 범위가 아니었을 것”이라고 진단했다. 그러면서 "정부가 출연금을 지원해서 기업들이 자체 보안 강화를 시행할 수 있는 산업군별 시스템이 만들어져야 한다"고 말했다.

 

이 전문가는 "민간 기업 입장에서는 같은 산업군끼리 모여 컨소시엄 맺은 뒤 협회 같은 걸 만들어야 한다”며 “보안 점검, 기술지원 등을 받는 그런 에코시스템이 필요한 시점”이라고 말했다. 그러면서 "기업이 나서기 쉽지 않다면 국가가 예산을 투자해 자체적으로 에코시스템을 만들어 관리할 수 있도록 지원해야 할 필요성이 있다"고 덧붙였다.

 

이번 쿠팡 사태는 단순한 해킹이 아니라 우리 사회 전반에 누적돼 온 정보 유출의 구조적 위험을 그대로 드러낸 사건이었다.  앞으로 다시는 이런 일이 생기지 않도록 철저한 재발 방지와 더불어 기업의 책임을 실질화시키는 제도가 필요한 시점이다.