[기자수첩] SKT 해킹 사태의 교훈
등록 2025.05.16 09:00:00
![[기자수첩] SKT 해킹 사태의 교훈](https://image.newsis.com/2023/02/17/NISI20230217_0001198240_web.jpg?rnd=20230217120127)
[서울=뉴시스] 심지혜 기자 = SK텔레콤에서 발생한 가입자 유심정보 유출사고. 그야말로 나라가 떠들썩했다. 삼성전자를 비롯한 주요 대기업은 물론 국정원도 각 부처에 유심 교체를 권고했다. 금융, 유통업계에서는 SK텔레콤에 대한 본인인증을 중단했다.
불안해진 일반 소비자들은 너도나도 유심 교체를 위해 대리점으로 달려갔다. SK텔레콤 대리점은 유심을 바꾸려는 이들로 장사진을 이뤘다. 코로나 대유행 때 나타났던 마스크 대란 사태가 재현되는 듯 했다.
때마다 툭 터졌던 개인정보 유출 사고 때와 달리 혼란을 키웠던 건 정보유출 규모가 어느 규모, 대상으로 이뤄진 지 모르다 보니 제대로 몰랐기 때문이다. 이 때문에 훔친 유심 정보를 가지고 복제폰을 만들면 전화, 문자 등을 가로채 금융피해를 야기할 수 있다는 우려까지 제기되며 공포감을 극대화했다. SK텔레콤이 정확한 정보를 제 때 제공하지 못한 점 또한 이번 사태에 불을 지폈다는 평가다. 정보의 불투명이 오히려 사회적 불안감을 키운 것이다.
다행이 민관합동 조사단은 SK텔레콤의 홈가입자관리서버(HSS) 해킹으로 25종의 고객 유심 정보가 유출됐지만, 이동통신단말기식별정보(IMEI)가 유출되지 않아 복제폰이 불가능하다는 점을 확인했다.
무엇보다 이번 사건을 보다 엄중하게 바라보는 시각에는 거대한 고객 정보를 보유하고 있는 통신사를 겨냥한 사이버 공격이 반복되고 있다는 데 있다. 특히 SK텔레콤은 국내 이동통신 가입자의 절반을 보유하고 있다.
앞서 KT와 LG유플러스도 대형 해킹사고를 겪었다. KT는 2012년 약 870만명의 이름·주민등록번호·전화번호·사용 요금제 등 가입정보가 유출됐고 2014년에는 홈페이지 취약점을 통한 해킹으로 1200만명의 이름·주민번호·계좌번호 등이 외부로 빠져나갔다.
LG유플러스는 2023년 30만명의 고객 정보가 유출되는 사고를 겪었다. 고객 이름, 생년월일, 전화번호, 집주소, 단말기 모델명, 이메일, 유심 정보 등을 탈취당했다.
통신사가 해커들의 먹잇감이 된 건 해외도 마찬가지다. 지난해 미국 최대 통신사 AT&T는 1억명의 고객 정보가 유출되는 사고를 겪었다. 일본 통신사 NTT도코모에서도 수백만건의 고객 개인정보가 유출되는 사건이 발생하기도 했다.
이처럼 해커들이 통신사를 노리는 이유로는 거대한 고객 정보를 확보하고 있다는 점이 일순위로 꼽힌다. 통신사가 취급하는 데이터의 민감도는 차원이 다른 수준이다. 통신사는 성명, 주민등록번호, 주소 등 최신 업데이트된 개인 신상정보는 물론 통화 내역, 접속 정보, 위치 정보 등을 갖고 있다. 이에 더해 인공지능(AI) 기술 발전으로 통신사가 진행하는 신사업으로 확보하는 정보들까지 포함하게 되면 이른바 ‘디지털 자아’가 통신사에 고스란이 복제되고 있다고 해도 과언이 아닐 것이다.
만약 이런 정보가 외부로 유출된다면 단순한 사생활 침해를 넘어 일상 전반에 걸친 피해를 야기할 우려가 크다.
이미 통신사는 ‘제2의 빅브라더’라 불릴 정도의 정보 권한을 보유하고 있는 셈이다. 그렇다면 보안 투자도 그에 걸맞은 수준이어야 하지 않을까. 국내 통신사들의 대응은 늘 뒷북이다. 인공지능(AI), 데이터센터 등 신사업 확대에는 엄청난 돈을 쏟아 붓지만, 보안 장비나 인력 투자는 늘 후순위로 물리기 일쑤다. SK텔레콤, KT, LG유플러스가 공시한 지난해 정보보호 투자액은 각각 600억원, 1218억원, 632억원이다. 3사의 정보보호 투자 비중은 각각 4.1%, 6.4%, 6.6%다. 이는 공시 대상 업종별 투자액 상위 각 10개 기업 평균 대비 낮은 편이다.
일례로 금융 및 보험업의 평균 정보보호 투자 비중은 9.4%다. 건설업 7.3%, 제조업 6.5%다. 특히 이번 해킹 사고가 발생한 SK텔레콤의 경우 절대적 투자액이 KT나 LG유플러스 대비 낮은 데다, 유일하게 2년 전 대비 규모가 감소했다.
AI 시대에는 더 많은 정보가 다뤄진다. AI 기업으로 변모를 꾀하는 통신사들은 그에 걸맞게 보안을 중시해야 한다. 보안은 그야말로 선택이 아닌 생존이다. 가장 최신의 고도화된 데이터를 실시간으로 다루고 있는 만큼 가치 높은 정보를 보유하고 있는 기업이다. 동시에 그만큼 해커들의 우선순위 공격 대상이 되기도 한다.
정보보호는 돈을 벌기 위한 투자는 아니지만 지금까지 벌어온 돈을 지키기 위한 최소한의 보험일 수 있다. AI 시대를 선도하고 싶다면, 보안도 그에 걸맞게 선도해야 한다. 진정 정보 대기업으로서 책임을 다하고자 한다면, 정보보호를 최우선 순위로 둬야 한다.
◎공감언론 뉴시스 siming@newsis.com
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
