'정보 유출' 美 T모바일, 고객에 3억5천만弗 배상…AT&T 과징금 1300만弗

2020년대 들어 고객 정보 유출 사고가 발생한 미국 통신사로는 T모바일, AT&T가 대표 사례로 꼽힌다. 미국 3대 이동통신사 중 하나인 T모바일은 2021년 고객 7660만 명의 이름과 생년월일, 사회보장번호 등이 포함된 신용 데이터가 유출되는 사고를 겪었다. 소비자들은 법원에 T모바일을 상대로 소송을 제기했고 회사는 3억5000만달러를 배상했다. 고객은 피해 규모에 따라 1인당 최대 2만5000달러의 보상을 받았다.

점유율 기준 미국 1위 통신사 AT&T는 2023년 고객 890만 명의 이름, 무선전화 번호, 통화량, 요금제 등이 담긴 정보가 유출돼 미국 연방통신위원회(FCC)에 1300만달러의 과징금을 납부했다. 지난해에는 고객 1억900만 명가량의 통화·문자 기록 등이 해킹당한 것으로 나타나 파문이 일었다. AT&T는 텍사스·캘리포니아주를 비롯한 미국 내 각 주에서 소송에 휘말린 상태다.

정보보호업계에선 통신사를 상대로 한 해킹이 증가할 것으로 보고 ‘제로 트러스트’ 모델 도입을 촉구하고 있다. 제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 보안 체계를 말한다. 용어 그대로 ‘아무도 믿지 말라’는 원칙이 기본 전제다. ‘입구만 잘 지키는’ 기존 보안 체계와 달리 제로 트러스트는 서버, 컴퓨팅, 데이터 등을 각각 분리해 보호하기 때문에 특정 시스템이 뚫려도 다른 시스템은 지킬 수 있다.

해외에선 이미 제로 트러스트를 앞다퉈 도입했다. 미국은 2019년 국립표준기술원(NIST)이 ‘제로 트러스트 아키텍처’를 공개하며 사이버 안보 가이드라인을 마련했다. 영국은 국가 사이버보안센터(NCSC)가 2021년 7월 ‘제로 트러스트 아키텍처 설계 원칙’을 제시했다. 일본은 2020년 6월 정부 정보시스템에 ‘제로 트러스트 적용을 위한 사고방식’을 도입했다. 중국 역시 2022년 6월 ‘제로 트러스트 참조 아키텍처’ 초안을 발표했다. 한국은 과학기술정보통신부가 2022년 10월 ‘제로 트러스트·공급망 보안 포럼’을 발족했지만 여전히 정부의 관심이 작다고 관계자들은 입을 모은다.

강경주 기자 qurasoha@hankyung.com