[뉴시스] [단독]’사이버 보안’ 불안한 ‘국가기간통신사업자 KT’

[단독]’사이버 보안’ 불안한 ‘국가기간통신사업자 KT’

등록 2022.02.18 19:51:12수정 2022.02.18 20:32:29

기사내용 요약

작년 10월 통신장애 ‘디도스 공격’이라 잘못 발표
최근에는 ‘심 스와핑’ 사건 불거져…보안대응력 의문
오라클 SW 유지·보수 계약 중단해 비용 절감 논란도
정당한 방법으론 오라클 보안패치 못 받아 재발 가능

associate_pic

[서울=뉴시스] 오동현 기자 = 국가 기간통신사업자인 KT가 사이버 보안 대응에 심각한 우려를 야기하고 있는 배경에는 비용절감을 위한 구조적 문제가 있음이 드러났다.

앞서 KT는 미흡한 통신 인프라 운영 관리 문제로 국민들의 일상에 심각한 불편을 초래한 바 있다. KT는 지난해 10월 25일 전국적인 통신망 장애를 일으켰다. 이 사고로 전 국민의 금융권 업무가 마비되고, 자영업자들은 영업에 심각한 피해를 봤다. 더욱이 장애 원인을 파악하는 과정에서 ‘디도스 공격’이라고 사실과 다르게 발표해 사이버 보안 역량에 심각한 우려를 남겼다.

또 최근에는 KT 고객 일부가 ‘심 스와핑(SIM Swapping)’ 피해로 가상자산을 탈취당하는 사고도 일어났다. 정확한 사고 원인은 밝혀지지 않았으나 드러난 피해자 대부분이 KT 고객이란 점에서 KT의 보안 역량에 의문을 남기게 했다. ‘심 스와핑’이란 특정인의 가입자식별모듈(SIM) 카드를 무단으로 복제하거나 바꿔치기한 뒤 휴대전화 본인 인증을 통과하는 방식으로 타인의 금융 자산을 탈취하는 범죄를 말한다.

이러한 최근 사례에 비춰볼 때, KT가 정부 기관의 시스템 운영 관리에 필요한 역량을 갖췄는지 검증이 필요하다는 지적이 업계에서 지속 제기되고 있다.

KT는 2018년 8월 행정안전부의 국가안전재난망 유지보수사업의 주사업자로 선정됐고, 현재는 주요 정부 공공 기관의 클라우드(Cloud) 사업을 위한 클라우드 센터도 운영하고 있다. 정부 기관의 IT 시스템은 단 1분이라도 멈출 경우 심각한 피해를 초래할 수 있어서, KT에 대한 정부 당국의 철저한 역량 검증을 요구하는 사회적 여론이 형성되고 있다.

특히 뉴시스 취재 결과, 최근에는 비용 절감을 이유로 KT가 오라클과 데이터베이스 관리시스템 사용 계약을 중단하고, 제3자 유지보수 서비스 업체로부터 엔지니어 인력만 지원받는 계약을 체결하면서 정상적인 방법으로는 오라클의 정기적인 보안 패치 업데이트를 받을 수 없게 된 것으로 드러났다. 이 과정에서 오라클 관계사와 기술 지원 서비스 계약 건으로 마찰도 빚고 있다.

19일 업계에 따르면 KT는 오라클 관계사와 계약한 데이터베이스 관리시스템(DBMS : database management system) 서비스 비용을 제대로 지불하지 않아 공정거래위원회에 제소된 것으로 전해졌다. 오라클 관계사는 오라클 본사와 다년 간의 계약을 체결하고 할인된 조건으로 KT에 서비스를 제공해왔는데, KT가 도중에 계약을 중단해 금전적인 피해를 봤다는 주장이다.

KT가 DBMS 유지보수 계약을 맺은 업체는 미국에서 오라클과 IP(지식재산권) 문제로 소송 중이다. 이 회사는 엔지니어 인력 공급 서비스 업체로, 오라클이 정기적으로 배포하는 보안패치를 KT와 같은 계약사에 적용할 수 없다. 하지만 부정적인 방법으로 오라클의 보안패치를 다운로드해 계약사에 지원하다 적발돼 벌금을 물기도 했다.

통상적으로 기업이 오라클 등 IT 솔루션 업체와 계약을 체결하면, 소프트웨어 사용 금액과 별도로 매년 20% 수준의 유지 관리 보수 비용을 지불해야 한다. 다만, 자금 사정이 좋지 않은 소규모 기업들은 이 비용을 줄이기 위해 절반 이하의 저렴한 가격으로 제3자 유지보수 서비스 업체와 계약을 맺고 있다.

이 경우 오라클 등 솔루션 업체가 매 분기 배포하는 보안 패치 및 소프트웨어 업그레이드를 적용받을 수 없다. KT도 이에 해당한다. 국가 기간통신사업자인 KT가 대용량의 오라클 DBMS를 토대로 대국민 서비스를 제공하면서도, 정상적인 방법으로 보안 패치 적용을 받지 못하는 상황인 것이다.

그렇다고 KT가 이제 와서 국가 공공기관에 적용한 오라클 DBMS를 대체하기도 어렵다. 모든 시스템을 클라우드로 변경하거나, 타사의 DBMS로 바꾸려면 최소 수천억 원 규모의 차세대 IT 프로젝트를 새로 시작해야 하기 때문에 막대한 사회적 비용이 든다.

오라클은 매 분기 CPU(Critical Patch Update)에서 오라클 제품의 보안 취약점 200~300개에 대한 패치를 발표한다. 영향을 받는 버전의 사용자는 악성코드 감염에 취약할 수 있으므로, 관련 문서 및 패치 사항을 검토하고 벤더사 및 유지보수 업체와 협의해서 패치를 적용해야 한다.

IT전문가들에 따르면 만약 KT가 오라클 DBMS의 보안 패치를 모두 적용했다면, 이는 오라클의 지식재산권을 무단으로 사용했다는 것을 의미한다. 반대의 경우라면, 오라클 보안 패치를 지난 2년간 한 번도 적용하지 않았다는 것을 의미하기 때문에 사이버 보안상 심각한 문제를 안고 있는 것이다. 어떤 경우라도 KT가 논란을 피하기 어렵다.

VM웨어가 2021년 초 발표한 ‘모던뱅크 하이스트4.0’ 보고서에 따르면 사이버 범죄 산업은 2022년 6조 달러에 달하며 2025년에는 2배 성장할 것으로 전망됐다.

또 아틀라스VPN(AtlasVPN)이 글로벌 IT 기업들의 보안 취약점을 조사한 결과, 2021년 전반기 동안 가장 많은 취약점을 배출한 업체는 구글, 마이크로소프트, 오라클 등으로 나타났다. 이 플랫폼들은 한 번의 공격만으로도 효율성이 높기 때문에 많은 해커의 공격 대상이 되고 있다.

IT 관계자는 “KT가 정상적인 방법으로 보안패치를 받고 있지 않다면 심각한 문제”라며 “그동안 총체적인 국가기간통신망 관리 부실 논란을 일으킨 KT가 앞으로도 계속 방관자적인 운영만을 고집한다면 앞으로도 크고 작은 IT 장애 사고가 일어날 수 있다”고 지적했다.

이에 대해 KT는 “계약 상대방이나 관련 내용에 대해선 확인해줄 수 없다. 다만 KT는 보안 문제에 관해선 철저하게 대응하고 있다”고 전했다.

◎공감언론 뉴시스 odong85@newsis.com




언론 목록