【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]KT 펨토셀 해킹부터 쿠팡 ‘정적 키’까지, 해외 전문가들 “기본원칙 무시가 부른 참사”

온카뱅크관리자

2026-01-06 13:47:47

<div id="layerTranslateNotice" style="display:none;"></div> “KT 해킹 기본원칙 무시로 발생...AI 저장소로 흘러갈 듯” “쿠팡 수 천만 계정 노출, 10년 만기 ‘정적 키’가 백도어” 통신3사, 제로트러스트·대규모 투자로 신뢰 회복 총력 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="QjEU41OcO5">
 [이데일리 윤정훈 기자]작년 터진 초소형 기지국 장비(펨토셀)를 활용한 KT(030200) 해킹 사태와 내부 인증키를 잘못 관리한 쿠팡에 대해 해외 IT전문가들은 기본원칙을 무시한 사례라고 평했다. 국내 통신 업계는 올해 보안을 1순위로 놓고 고객 신뢰 회복에 나선다는 방침이다.
 <figure class="figure_frm origin_fig" contents-hash="365e2bed9560343d0f92b3ac6baafe2561cb9b0fc63650b215eb0960a69b2e92" dmcf-pid="yUqcloV7OX" dmcf-ptype="figure">
 <img alt="권희근 KT 마케팅혁신본부장이 30일 서울 종로구 광화문 사옥에서 열린 무단 소액결제 사태 및 해킹 사고 등과 관련한 ‘침해사고 관련 대고객 사과와 정보보안 혁신방안’ 브리핑에서 고객 보상 패키지와 관련해 설명하고 있다.(사진=연합뉴스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/06/Edaily/20260106134106667hxhb.jpg" data-org-width="532" dmcf-mid="6O9XzTAimt" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/06/Edaily/20260106134106667hxhb.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 권희근 KT 마케팅혁신본부장이 30일 서울 종로구 광화문 사옥에서 열린 무단 소액결제 사태 및 해킹 사고 등과 관련한 ‘침해사고 관련 대고객 사과와 정보보안 혁신방안’ 브리핑에서 고객 보상 패키지와 관련해 설명하고 있다.(사진=연합뉴스)
 </figcaption>
 </figure>
 <div contents-hash="dbcb8d2bba1703f23bbd383a826b28f7ff23a36738bdc28befd13c1131a15ee5" dmcf-pid="WH1JEQUZDH" dmcf-ptype="general">
 “KT 해킹 기본원칙 무시로 발생...AI 저장소로 흘러갈 듯”
 </div>
 6일 통신업계에 따르면 호주 통신 기술 분석 기업 Market Clarity의 CEO인 Shara Evans는 지난달 30일 한 영국 IT 매체 기사에 댓글을 남겨 “KT 해킹은 지금까지 접한 사례 가운데 보안 영역의 무능과 태만이 가장 심각하게 드러난 최악의 사례 중 하나”라고 밝혔다. 에반스 CEO는 2020년 Forbes가 선정한 ‘세계 50대 여성 미래학자’에 이름을 올린 인물이다.
 에반스 CEO는 이어 “기본적인 IT 정보보안 원칙이 수년간 조직적으로 무시됐고, 그 과정이 오랫동안 전혀 발견되지 않았다는 점을 보여주는 사례가 많다”며 “솔직히 말해 현재까지 확인된 KT의 정보 유출 규모가 조사 결과 발표에서 밝힌 수준에 그친다는 점이 오히려 놀랍다”고 지적했다. 또 “상당량의 민감 정보가 소액결제 시스템 외 다른 경로에서도 활용됐을 가능성이 높다”며 “그로 인해 발생한 피해가 KT의 치명적인 보안 관리 부실에도 불구하고 제대로 집계되지 않았을 수 있다”고 덧붙였다.
 그는 이번 사태로 유출된 민감한 개인정보가 AI 데이터 저장소로 흘러 들어가 악의적으로 활용되고 있을 가능성도 우려했다. 실제로 정부 민관합동조사단은 110여 일간 조사를 진행했지만, 소액결제에 필요한 개인정보가 유출된 구체적 경위는 끝내 규명하지 못했다.
 영국의 통신 전문 연구기관 ReThink Technology 역시 보고서를 통해 사태의 심각성을 경고했다. 이 기관은 “KT에 대한 사이버 공격은 일반적으로 알려진 소액결제 사기보다 훨씬 중대하며, 공격 패턴은 수년간 지속된 국가 차원의 사이버 스파이 활동과 유사하다”고 분석했다.
 KT의 펨토셀 보안 취약점은 앞서 지난 29일 독일 함부르크에서 글로벌 해커 연합체 Chaos Computer Club이 주최한 유럽 최대 보안 콘퍼런스 39C3에서 다시 제기된 바 있다. 당시 박신조 Berlin University of Technology 박사 등 연구진은 우회 공격을 통해 약 30분 만에 새로운 인증서를 발급받을 수 있었다고 발표하며, 국내 통신 보안의 취약한 실태를 공개했다.
 <figure class="figure_frm origin_fig" contents-hash="b0881dbaca894887824234ca2f21c56a71f71f7bb55a14eade46778c5f7011c6" dmcf-pid="5FUaOJb0Ov" dmcf-ptype="figure">
 <img alt="해롤드 로저스 쿠팡 임시대표가 31일 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회에서 위원 질의에 답하고 있다.(사진=연합뉴스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/06/Edaily/20260106134107926zshq.jpg" data-org-width="546" dmcf-mid="PnT8LKXSr1" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/06/Edaily/20260106134107926zshq.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 해롤드 로저스 쿠팡 임시대표가 31일 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회에서 위원 질의에 답하고 있다.(사진=연합뉴스)
 </figcaption>
 </figure>
 <div contents-hash="92628a4aa7e497f99627767ca5b71733fea671ec475522897662b114692ebfad" dmcf-pid="13uNIiKpmS" dmcf-ptype="general">
 “쿠팡 수 천만 계정 노출, 10년 만기 ‘정적 키’가 백도어”
 </div>
 글로벌 보안 솔루션 기업 ‘허쉬 시큐리티’의 공동 창업자이자 CEO인 미카 라베(Micha Rave)는 쿠팡 사태를 “수동 오프보딩(퇴사자 권한 회수)이 초래한 치명적 실패 사례”라고 규정했다.
 라베 CEO는 링크드인에서 “전직 직원이 5~10년 동안 유효한 서명 키(Signing Key)를 악용해 수천만 명의 계정을 노출시켰다”며 “10년이라는 긴 수명을 가진 정적 키(Static Keys)는 그 자체로 거대한 부채”라고 강도 높게 비판했다. 
 정적 키(Static Key)는 한 번 생성된 뒤 장기간(수년) 변경되지 않고 계속 사용되는 암호 키를 말한다.
 특히 그는 “보안이 담당자의 ‘권한 회수 버튼 클릭’ 여부에 의존해서는 안 된다”며 단기 임시 자격 증명 도입의 시급성을 강조했다.
 이에 대해 클라우드 전략 전문가 거프릿 싱(Gurpreet Singh) 역시 “버라이즌(Verizon) 조사에 따르면 데이터 침해의 29%가 탈취된 자격 증명과 관련이 있으며, 이러한 ‘유령 계정’을 감지하는 데 평균 197일이 걸린다”고 지적했다. 정적 키는 언제든 악용될 수 있는 ‘영구적인 백도어’와 마찬가지라는 설명이다.
 “통신망 더이상 안전지대 아냐” 통신3사, 신뢰회복 최우선 과제
 국내 통신업계는 이번 사태를 반면교사 삼아 ‘제로트러스트(Zero Trust)’를 전면 도입하고, 고객 신뢰 회복에 나선다는 방침이다. 제로트러스트는 ‘아무도 믿지 말고 항상 검증하라’는 원칙 아래, 내부자 위협까지 가정하여 인증과 권한을 세분화하는 보안 모델이다.
 김영섭 KT 대표는 지난 2일 전체 임직원에게 보낸 신년 메시지를 통해 “전방위 보안 혁신”을 강력히 주문했다. 
 김 대표는 “이번 침해사고에서 보듯 이제는 전통적인 IT 영역만이 아니라 네트워크, 마케팅, CS 등 모든 업무가 보안의 대상”이라며 인식의 전환을 촉구했다. KT는 무단 소액결제 사태와 관련해 향후 5년간 1조 원을 정보보안에 투자해 인프라를 근본적으로 뜯어고칠 계획이다.
 SKT도 ‘신뢰’를 2026년의 키워드로 꼽았다. SKT는 향후 5년간 7000억 원 규모의 보안 투자를 통해 정보보호 전문 인력을 기존 대비 2배 증원하고, 제로트러스트 모델을 기반으로 서버·DB 접근 제어 및 로깅을 대폭 강화한다고 발표했다
 LG유플러스 홍범식 사장도 신년사에서 ‘T.R.U.S.T(신뢰)’를 강조하며 “신뢰가 쌓이면 남들이 따라올 수 없는 경쟁력을 만든다”고 고객 신뢰 회복을 역설했다.
 윤정훈 (yunright@edaily.co.kr) 
 </section> 
 </div> 
 Copyright © 이데일리. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기