도의적 사과에도 배상 계획은 전무
비용 앞에선 정보보호 문 ‘활짝’
기업 자율에 맡긴 보안, 소비자 불안↑

최근 가입자 식별 장치(유심·USIM) 해킹 피해 사실을 알린 SK텔레콤의 향후 사태 수습과 대응책에 소비자들의 관심이 쏠리는 모습이다. SKT는 이번 사태로 고객의 민감 정보는 탈취당하지 않았다고 밝혔지만, 소비자들은 각종 개인정보가 신원 도용 등 범죄에 악용될 것을 우려하고 있다. 전문가들도 유심칩처럼 인증 수단과 결합된 데이터는 금융·공공 분야와 연결된 만큼 그 위험성을 무겁게 받아들여야 한다는 데 의견이 일치했다.

정확한 피해 규모 확인 안 돼 소비자 혼란 가중

24일 업계에 따르면 SK텔레콤(SKT) 지난 19일 오후 사내 시스템에서 고객 유심 정보가 유출된 정황을 발견해 20일 한국인터넷진흥원(KISA)에 신고했다. 이후 22일엔 개인정보보호위원회에도 신고했다. 문제가 된 시스템은 중앙집중화된 데이터베이스 ‘홈가입자서버(HSS)’로, 사용자 등록 및 변경 관리, 인증, 권한 부여, 과금 등 광범위한 가입자 정보를 관리하는 역할을 한다.

SKT는 정확한 피해 규모를 묻는 언론들의 질문에 “주민등록번호, 생년월일, 결제 계좌번호 등과 같은 민감 정보가 아니라, 전화번호 같은 가입자의 유심 관련 정보가 일부 유출된 것”이라고 밝혔다. 휴대전화에 탈부착하는 소형 칩 형태의 유심에는 가입자가 통신사로부터 부여받은 휴대폰 전화번호와 휴대폰 기기의 고유번호 등 가입자별 식별 정보가 들어간다. 통신사는 자사 망에 접속한 휴대폰 이용자의 유심 정보와 통신사 서버에 보관 중인 내용이 일치하는지 확인해 자사 가입자인지 식별하고, 서비스를 제공한다.

전문가들은 피해 규모가 예상보다 더 클 가능성에 무게를 두는 분위기다. 주민번호 등 민감한 개인정보가 유출되지 않았다는 SKT의 주장도 현시점에선 신빙성이 떨어진다는 지적이다. 황석진 동국대 정보보호대학원 교수는 “유심은 휴대폰의 이동식저장장치(USB)와 같다”며 “고유식별번호(IMEI)는 물론 이용자가 설치한 애플리케이션(앱) 정보 등 휴대폰의 모든 저장 정보가 담겨 있어 앱에 담긴 정보를 활용할 수도 있다”고 경고했다.

시민들과 소비자단체도 이번 해킹 사고에 대한 대책 마련을 촉구하고 나섰다. 참여연대는 이번 해킹 사건을 “중대한 범죄행위에 악용될 수 있는 심각한 사태”라고 표현하며 “소비자와 시민단체가 함께 참여하는 사고 대책반을 구성해 범정부 차원의 피해조사와 복구 및 재발 방지가 시급하다”고 목소리를 높였다. 정지연 한국소비자연맹 사무총장 또한 “보안에 대한 관리가 미흡했다는 점이 당국 조사 결과 밝혀지면, 단체 소송 등을 검토할 예정”이라고 밝혔다.

이번 해킹 사건을 총괄하는 과학기술정통부는 KISA와 비상대책반을 구성해 SKT가 발표한 내용에서 추가로 해킹된 개인 정보가 있는지 여부 등 정확한 피해 규모를 파악한다는 방침이다. SKT는 당국의 조사에 협조하면서 일차적인 이용자 보호 초지를 시행하고 있다. 구체적으로는 고객 피해 예방을 위해 비정상인증시도 차단을 강화하고, ‘유심 보호 서비스’를 안내 중이다.

유심 보호는 타인이 유심 정보를 복제 또는 탈취해 다른 기기에서 통신 서비스에 접속하는 것을 차단해 주는 서비스를 의미한다. SKT는 해킹 피해 소식이 전해지고 불과 하루 만에 해당 서비스 가입자가 7만2,000명 늘었다고 밝혔지만, 이는 SKT 전체 가입자 2,300만 명과 비교하면 약 3.1% 수준에 그친다.

1등 기업답지 않은 리스크 관리 실태

이런 가운데 SKT가 최근 2년간 정보보호 투자비를 줄였다는 사실까지 드러나면서 충격을 키웠다. 한국인터넷진흥원과 업계에 의하면 SKT의 지난해 정보보호 투자비는 약 600억원으로 2022년(627억원)과 비교해 4%가량 축소됐다. KT와 LG유플러스 등 여타 통신사가 정보보호 관련 투자를 꾸준히 늘려 온 것과 상반된 행보다. 특히 과거 해킹 사건으로 홍역을 치른 경험이 있는 KT는 지난 한 해에만 1,218억원의 정보보호 투자비를 집행했다. SKT의 해킹 피해를 두고 기업이 스스로 취약성을 방치한 ‘예고된 참사’였다는 비판이 거세지는 이유다.

더 큰 문제는 피해 복구를 위한 비용이 가입자에게 전가될 가능성을 배제할 수 없다는 점이다. SKT는 아직 유심 교체 계획 등 자사의 비용 부담 및 책임 관련해서 어떠한 발표도 하지 않고 있다. 도리어 유심보호 서비스 가입을 유도하는 데서 알 수 있듯 소비자의 움직임을 유도하는 방식으로 대응하고 있다. 통신 보안의 핵심을 스스로 허무는 것도 모자라 그 책임을 이용자에게 떠넘기고 있는 셈이다.

이와 같은 방식은 사실상 정보보안 리스크의 회피로 볼 수 있다. 소비자는 특정 서비스를 이용하는 과정에 별도의 부가 서비스를 이용해 자신의 정보를 지켜야 하고, 기업은 보안 비용을 절감하면서도 피해 책임은 최소화하는 식이다. 익명의 한 보안업계 관계자는 “SKT의 행보는 소비자의 불안과 비용 부담은 외면하고, 기업은 무책임한 안전망에 숨는 것과 같다”며 “대다수 국민이 이용하는 통신 서비스에서 이런 행태를 보이는 건 매우 위험한 일”이라고 일갈했다.

기업의 보안 실패, 사회 전체 위기로 번질 수도

이번 사태는 비단 SKT만의 문제가 아니다. 통신사는 본질적으로 해킹에 취약한 구조를 안고 있다. 인터넷망, 전화망, 기지국 등 국가 기반 시설을 운용하면서도 공공보안 수준의 규제를 받지 않는 민간사업인 탓이다. 실제로 국내외를 막론하고 통신사는 사이버 공격의 단골 표적이 돼 왔다. 2012년에는 KT에서 영업 시스템망 해킹으로 약 830만 명의 고객 개인정보가 유출됐으며, 비교적 최근에는 2023년 1월 LG유플러스에서 고객 개인정보 약 30만 건이 불법 거래 사이트로 넘어가는 사건이 발생한 바 있다.

이번 SKT의 HSS 공격과 관련해서는 중국 정부가 후원하는 해킹 조직 위버 앤트(Weaver Ant)의 공격 방식과 유사하다는 분석이 제기된다. 사고대응기관 시그니아(Sygnia)의 조사에서 위버 앤크는 2021년부터 무려 4년간 아시아의 한 대형 이동통신사 네트워크에 잠입, 활동해 온 것으로 드러났다. 악성코드 종류 중 하나인 웹셸(Web Shell)을 악성코드로 인식하지 않는 고급암호화표준을 적용해 웹 방화벽을 우회하는 식이다.

이 과정에서 위버 앤트는 금전적인 이득을 취하지는 않았으나, 국가 기밀과 같은 치명적인 정보를 장기간 수집한 것으로 알려졌다. SKT 사건에서도 유사한 흐름이 포착됐다는 전언이다. 한 보안 전문가는 “피싱 이메일과 웹서버 취약점을 이용해 장기간에 걸쳐 침입한 것 같다”며 “단계적으로 접근 권한을 높이면서 HHS에 접근했을 것”이라고 설명했다. 이는 위버 앤트의 사례처럼 단순한 범죄 행위를 넘어 전략적 사이버 공격의 가능성까지 염두에 둬야 한다는 의미로도 해석할 수 있다.