 SK텔레콤 유심 무상 교체 안내문. 연합뉴스 |
유심 정보는 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 등 누가 어떤 휴대전화를 사용하고 있는지에 대한 정보를 디지털 코드로 저장한 것으로 휴대전화의 신분증으로 비유된다.
사회가 점점 디지털화하면서 본인 확인, 금융 거래에서 휴대전화가 실물 신분증을 대신하고 있는 상황 속 휴대전화에 심긴 디지털 신원 정보가 해커 손에 넘어갔다는 사실에 사회가 발칵 뒤집힌 것이었다.
이용자들은 유심 정보 유출이 문자 메시지 및 통화 기록 노출 등 심각한 프라이버시 침해로 이어질 수 있는 점도 우려하고 있다. 또 우리 사회가 편리하다는 이유로 통신사에 너무 많은 사회적 인프라를 의지해온 것 아니냐는 자각이 생기기 시작했다.
단순한 통신 중계뿐 아니라 ‘내가 나인지’를 확인받는 절차의 상당 부분을 지금껏 통신업계에 위임해온 셈인데 이번 SKT 해킹 사태에서 이를 대행할 역량을 갖췄느냐는 의구심이 떠오른 것이다.
일례로 SKT는 해커 최초 침입이 3년 전으로 지목되는 상황에서 지난해 12월2일 이전 로그 기록을 남겨두지 않아 이날 이전 2년 반 동안의 해커 활동에 따른 피해 규모와 종류를 짐작하기 어렵게 하고 있다.
로그 기록을 1년간 남겨 두도록 한 정부의 정보 보호 인증인 ISMS(정보보호 관리체계 인증)를 받은 SKT는 지난해 5월19일부터 로그 기록을 갖고 있어야 하지만 7개월에 가까운 기간의 공백을 방치한 셈이다.
한 보안 업계 관계자는 “서버를 처음 구축할 때 중앙 로그 수집 서버로 기록을 남기는 설정을 해야 하는데 하지 않은 것으로 보이고 기록 누락을 별도의 정기 점검을 통해 발견했어야 하는데 그것도 되지 않았던 것”이라며 “대기업의 보안 시스템으로 보기에 놀라운 부분”이라고 지적했다.
국내 일류 대기업들이 취약점을 드러낸 것은 이번 만이 아니다. 엔비디아의 서버에서 그래픽처리장치(GPU) 회로도를 빼냈다고 주장하기도 한 해커 그룹 랩서스(LAPSUS$)는 2022년 삼성전자 서버를 해킹한 사실을 공개한 데 이어 LG전자 홈페이지에서도 임직원 이메일 등 정보를 빼돌렸다.
CJ대한통운과 CJ ENM 등 CJ 주요 계열사의 IT 인프라 개발·관리를 담당하는 CJ올리브네트웍스의 인증서 파일이 해킹으로 유출된 것으로 최근 드러나기도 했다.
2012년과 2014년에는 KT에서 해킹 사고가 일어났고 LG유플러스에서 2023년 1월 해킹 피해로 약 30만 건에 달하는 고객 정보가 불법 거래 사이트로 유출되며 파문이 일었다.
당시 사회가 떠들썩했지만 SKT 해킹 사건에서 드러나듯 ‘해킹 불감증’은 크게 개선되지 않았고, 해커들은 가치 있는 정보를 다량 보유한 국내 업계에 대한 집요하고 조직적인 사이버 공격을 지속하고 있다.
정보기술(IT) 대기업에 사회 인프라의 상당 부분을 맡겼다가 허술한 관리가 수면 위로 드러나며 소비자들을 허탈하게 했던 사례는 비단 통신사에서만 발견된 것이 아니다.
지난 2022년 데이터 센터 화재로 카카오톡을 비롯한 교통·금융 등 각종 서비스가 먹통이 되며 디지털 초연결 사회의 취약성을 드러낸 카카오 디지털 재난 당시에도 카카오가 유사시 백업 시스템을 제대로 마련해두지 않은 점이 알려지며 질타받았다.
소규모 화재 한 번에 완전 정지될 수 있는 서비스를 각종 행정·금융 공지를 전달하고 본인 인증을 수행하는 주요 수단으로 삼아왔다는 사실에 많은 이들이 허탈해했는데 2년여 뒤 전 국민 절반이 쓰는 통신사 해킹 사태에서 이용자들은 비슷한 기분을 느끼고 있는 셈이다.
전문가들은 이번 사태를 계기로 IT 기업들에 상당 부분 맡겨진 사회 인프라 기능의 취약성을 재점검할 필요가 있다고 지적한다. IT 업계가 해당 기능들을 수행하도록 위탁하더라도 이용자들이 안심할 수 있도록 정보 보호 규율 및 내부 통제 등의 제도적 기반을 강화할 것을 주문했다.
국회입법조사처는 “이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용하고 통신사 핵심 서버 등 지정된 관리 대상에는 전문가 협의회 심의를 의무화하는 방향으로 법령 개정이 필요해 보인다”고 제언하기도 했다.
본인 인증, 금융 거래 등 민감한 보안 업무에 2단계 이상의 인증을 정착시키고 한번 인증을 수행하면 정보가 사라지는 휘발성 키 등 선진 인증 방식을 도입하라는 요구도 있다.
미국 사이버보안 및 인프라 보안국(CISA) 가이드라인은 휴대전화 SMS 등을 인증의 보조 수단으로 사용하지 말 것을 권고하고 있다. 다만 이러한 인증 과정 고도화는 비용이 필수적으로 수반되기 때문에 강력한 정책적 요청을 통해 기업의 적극적인 협력을 이끌어내야 하거나 정책적 지원이 요구될 수 있다.
유심 정보 탈취로 복제폰 피해 사건을 겪은 미국 통신사 T모바일은 유심 변경 시 본인 확인 절차에 2명 이상의 담당 직원이 개입하는 고도화 지침을 마련했다가 실제 도입으로 이어지지 않은 바 있다.
노병하 기자·연합뉴스
