SK텔레콤 대규모 해킹 사태 有感; 정보 유출은 반복되고, 소비자 마음은 재가 되었다 > News Insight

국내 최대 가입자를 보유한 SK텔레콤에서 고객 유심(USIM) 정보 해킹 사건이 일어나 통신 서비스 전반에 대한 이용객 불안이 증폭되고 있다. SKT는 지난 28일부터 유심 무상 교체 서비스에 들어갔지만 교체를 원하는 가입자들이 한꺼번에 몰려 혼란이 빚어지는가 하면 확인되지 않은 피해 사례가 사회관계망서비스(SNS)에 퍼지면서 통신 시장 전체에 불안감이 증폭되고 있다.

문제는 이런 대규모 정보유출 사건이 처음이 아니라 반복되고 있다는 점이다. 지난 2012년과 2023년에도 KT와 LG유플러스가 각각 비슷한 정보유출 사태를 겪은 바 있지만 근본적 해결은커녕 미봉책으로 일관해 오늘의 또 다른 정보유출 사태를 겪게된 것이다. 과연 이번에는 제대로 된 처방과 대응책을 강구할 것인지 지켜볼 일이다.

사실 이번 SK텔레콤에서 발생한 대규모 해킹 사고의 진행과 대처 과정을 보면 가입자들로서는 불안함을 금할 수 없다. 그동안 진행된 상황을 다시 정리해 보자.

SK텔레콤은 지난 18일 해커에 의한 악성코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.

해커들은 리눅스(서버 운영체제의 일종) 기반 서버를 표적으로 한 BPFDoor(방화벽을 우회해 통신을 가로채는 고급 악성코드)를 이용하여 침입을 감행하였다. BPFDoor는 리눅스 커널(리눅스 운영체제의 핵심 부분)의 BPF 기능(네트워크 패킷을 필터링하고 분석할 수 있도록 지원하는 기능)을 악용하여 방화벽을 우회하고, 시스템 관리자에게 탐지되지 않도록 설계된 고급 악성코드이다. 이는 주로 중국계 해커 조직이 사용하는 방식으로 알려져 있다.

이번 공격은 SK텔레콤 내부 시스템을 정밀 타격하여, 가입자 유심 정보에 접근하는 데 성공하였다. 특히 이 과정에서 방화벽과 침입 탐지 시스템이 무력화되었으며, SK텔레콤은 이상 징후를 4월 18일에 인지했음에도 4월 20일에야 신고하여 법정 24시간 이내 신고 의무를 위반하기도 했다.

유심(USIM, Universal SUbscriber Identity Module)은 이동통신 가입자의 신원을 인증하고, 통화, 데이터 사용, 금융 서비스 접근을 가능하게 하는 작은 칩이다. 스마트폰에 삽입되는 이 칩 안에는 중요한 개인정보가 저장되어 있다. 유심에 포함된 주요 정보는 이런 것들이다.

▸ IMSI(International Mobile Subscriber Identity, 국제 이동 가입자 식별 번호):

통신망 상 가입자를 고유하게 식별하는 데 사용된다.

▸ IMEI(International Mobile Equipment Identity, 휴대폰 단말기 고유 식별 번호):

각 휴대전화 기기의 고유성을 나타낸다.

▸ ICCID(Integrated Circuit Card Identifier, 유심 카드 고유 식별 번호):

유심 자체를 식별한다.

▸ KI(Key Identifier, 유심 카드 내 저장된 고유 인증키):

이동통신 서비스 이용과 금융 인증에 필수적인 정보이다.

이 정보들은 단순 개인정보 이상의 민감도를 가지며, 복제폰 제작, 금융 계정 탈취, 대포폰 개통 등의 범죄에 악용할 수 있는 데이터이다. 전문가들은 이번 사태로 인해 ‘금융자산 탈취’, ‘신원 도용 및 범죄 악용’, ‘부정선거 시도’ 등의 피해가 발생할 수 있다며 경고하고 있다.

피해 규모는 아직 공식적으로 확인되지 않았지만 SK텔레콤 가입자가 알뜰폰 가입자까지 포함해 약 2천5백만 명에 육박하는 만큼 전국적으로 불안이 확산되고 있으며 국회 청원 및 집단 소송의 움직임도 나타나고 있다.

SK텔레콤은 대응책으로 ‘유심 보호 서비스’와 ‘유심 무료 교체’ 제공하고 있다. 그러나 유심 보호 서비스는 해킹을 완전히 차단하는 조치가 아니며, 서비스 적용 시 해외 로밍과 기기 변경이 제한되는 단점이 있어 해외여행이 필요한 여행자나 기기 교체가 필요한 고객에게 또 다른 불편을 줄 수 있다. 또한 유심 무료 교체는 유심 재고 부족과 과도한 대기시간으로 인해 소비자들이 불편을 호소하고 있다.

초기 공지 역시 문제로 지적되고 있다. SK텔레콤은 피해 사실을 개별적으로 알리지 않고 공식 홈페이지 팝업 형태로만 안내해 많은 소비자들이 사태를 뒤늦게 인지했다. 특히 고령층이나 IT 취약계층은 정보 접근조차 어려워 2차 피해에 더욱 취약한 상황이다.

이동통신 인프라에 대한 신뢰를 흔드는 심각한 위기 앞에 통신사의 책임 있는 대응과 보안 체계 전면 재구축이 시급히 요구된다.

SK텔레콤 해킹 사태는 결코 남의 일이 아니다. SK텔레콤에 가입한 수많은 가정이 IT 정보에 익숙하지 않은 가족을 대신해 유심 보호 조치를 알아보고 신청해야 했으며, 대리점 오픈런은 직장인에게 현실적으로 불가능에 가까운 일이었다. 유심 교체 예약 및 명의도용 방지 서비스 신청은 몰려든 대기자 속에 서버 접속조차 어려웠고, 소비자들은 자신의 시간과 노동력을 희생하며 피해 대응을 스스로 떠안아야 했다. 한마디로 불안한 가입자들의 마음은 이제 잿더미로 변한 상태다. 이 과정에서 소비자에게 모든 부담과 책임을 전가한 통신사의 무책임한 대응은 깊은 환멸을 자아내기까지 한다.

현재 SK텔레콤은 유심 정보 유출 정황을 인지한 뒤, 악성코드 삭제 및 해킹 의심 장비 격리 등 초기 대응을 실시하고 있다. 아울러 전체 시스템에 대한 전수 조사와 불법 유심 복제 방지를 위한 비정상 인증 시도 차단 강화, 피해 고객 대상 유심 무료 교체 및 이용 정지 조치를 시행하고 있다. 정부 또한 과학기술정보통신부와 한국인터넷진흥원을 중심으로 민관 합동 조사단을 꾸려, 피해 범위 조사 및 추가 피해 예방 대책 마련에 나섰다. 

그러나 일각에서는 이번 사태가 단순 보안 사고를 넘어 구조적 허점의 결과라는 지적도 나온다. SK텔레콤은 지난해 정보보호 예산을 약 600억 원 수준으로 편성했는데, 이는 2022년 대비 4% 감소한 수치이자, 경쟁사 대비 현저히 낮은 수준이다. 전문가들은 보안을 단순한 비용 항목이 아니라 기업 신뢰를 지키는 투자로 인식해야 한다고 강조하면서, 유심 복제를 원천적으로 차단할 수 있는 보호 장치 마련과, 해킹 탐지 및 대응 체계 고도화, 그리고 보안 담당자에 대한 지속적 교육이 필수적이라고 지적했다.

이번 사태는 SK텔레콤만의 문제가 아니다. KT는 2012년 870만 명의 고객 개인정보를 유출했으나, 1심에서 1인당 10만 원씩 배상하라는 판결을 받았음에도 대법원은 최종적으로 통신사의 책임을 인정하지 않았다. LG유플러스 역시 2023년 30만 건의 정보 유출 사고를 일으켜 68억 원의 과징금과 2,700만 원의 과태료 처분을 받았다. 대한민국 3대 이동통신사는 과거 수차례 고객 정보를 유출하고도, 매번 사과문 하나를 띄우거나 고위 임원이 고개를 숙이는 형식적 제스처로 사태를 무마해왔다. 실질적 보상은커녕 보여주기식 사과문으로 소비자들의 분노를 가라앉히려 했고, 개인정보 유출에 대한 대한민국 사회의 관대함은 좀처럼 개선되지 않았다.

개인정보가 재산권으로 여겨지는 시대에 정부와 기업 모두가 개인정보 보호를 국가적 과제로 삼고, 제도와 인식을 재구성해야 한다. 이동통신사들은 과점적 지위에 안주할 것이 아니라, 고객의 신뢰를 기업 생존의 유일한 기반으로 삼아야 한다. 지금 필요한 것은 면피성 사과나 임시방편적 대응이 아니라, 개인정보 유출을 근본적으로 막을 수 있는 실질적 투자와 고객을 최우선으로 생각하는 책임 윤리다.

<ifsPOST>​