전체기사 최신뉴스 GAM
KYD 디데이

SKT, 유심 정보 '암호화' 미비…'유심 해킹 피해 귀책사유' 될까

기사입력 : 2025년05월08일 08:28

최종수정 : 2025년05월08일 13:48

"유심 정보는 암호화 의무 대상 아냐" vs "유심 정보도 '광의의 개인정보' 해당"
KISA·과기부 "통신사 암호화 현황 관리하지 않아…자료 요구할 법적 근거 없다"

[서울=뉴스핌] 김영은 인턴기자 = SK텔레콤이 네트워크와 서버 내 유심(USIM) 정보의 암호화를 완료하지 않은 사실이 드러나면서, 해당 사실이 이번 해킹 사태의 '귀책사유'로 지목될 가능성이 제기되고 있다. 

앞서 이준석 의원(개혁신당)은 지난달 30일 국회 청문회에서 "SKT가 사업을 영위한 지 30년이 지났는데, 그때부터 유심 정보가 평문(암호화하지 않은 상태)으로 관리됐다는 건 충격적"이라며 "이 정도 수준의 식별 정보를 암호화하지 않았다는 건, 보안 엔지니어링의 기본도 지키지 않은 것"이라고 지적했다. 이에 류정환 SKT 부사장 겸 네트워크 인프라 센터장은 "네트워크 쪽은 암호화돼 있지 않은 부분이 많다"며 "데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다"고 시인했다. 

[서울=뉴스핌] 최지환 기자 = 유영상 SK텔레콤 대표가 30일 오전 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에서 물을 마시고 있다. 2025.04.30 choipix16@newspim.com

8일 통신업계에 따르면, SKT의 네트워크 암호화 및 서버 저장 데이터 암호화 작업은 여전히 완료되지 않은 상황이다. 류 부사장은 지난 2일 유심 정보 유출 관련 일일 브리핑에서 "암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다"고 밝혔으나, 다음날 공식 브리핑을 마친 뒤 "전체 암호화는 진행 중이지만, 일부 예외 구간(호 처리 즉, 통화 연결 등 일부 민감한 구간)은 다른 방식으로 보안을 강화할 방안을 찾아나가고 있다"며 암호화 작업이 완료되지 않았음을 인정했다.

서버 저장 데이터 및 네트워크 암호화란, 통신망을 통해 주고받는 데이터(음성, 문자, 인증정보 등)를 읽을 수 없는 암호문으로 바꿔 전송함으로써, 외부에서 도청하거나 탈취하더라도 내용을 알아볼 수 없게 만드는 보안 기술이다. 암호화를 적용하면, 해커가 데이터를 가로채더라도 쓸모없는 문자 덩어리(암호문)만 얻게 돼 개인정보 ▲유출 ▲도청 ▲변조 ▲신원 도용 등 각종 사이버 범죄를 예방할 수 있다. 결과적으로 SKT 이용자들의 '가입자 인증 번호(IMSI)' '인증키(Ki)' '유심 일련번호' 등 핵심 정보는 암호화를 거치지 않아 외부에 노출된 상황이다.

SKT는 암호화에 대한 '법적 의무'가 없다는 입장이다. 개인정보보호위원회 고시 '개인정보의 안전성 확보조치 기준' 제7조 2항에 따르면 개인정보처리자가 암호화해 보관해야 할 정보에는 주민등록번호, 여권번호 등만 명시돼 있다. 류 부사장은 지난달 30일 국회에서 "법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다"고 밝혔지만, 유심 칩의 가입자 식별번호, 인증키 등이 암호화 의무 대상이 아니라는 취지의 입장을 고수 중이다. 

◆ 전문가 "유심정보도 안전성 조치 취해야 할 '광의의 개인정보'" 지적

[서울=뉴스핌] 최지환 기자 = 가입자 유심(USIM) 정보를 해킹 당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 강서구 김포공항 국제선 SKT 로밍센터에서 고객들이 유심교체를 위해 줄을 서 있다. 2025.04.28 choipix16@newspim.com

정보보호학계와 법조계 일각에서는 유심에 내재된 정보를 '광의의 개인정보'로 해석해야 한다며 SKT 측의 귀책사유 가능성을 제기하는 목소리도 나왔다. 유출된 정보가 가입자 식별에 사용될 수 있는 만큼, 정보 보호를 위한 안전성 조치가 필수적이었다는 주장이다.

엄흥열 순천향대 정보보호학과 교수는 "유심 정보는 법에서 정한 암호화 의무 대상에 포함되지는 않는다"면서도 "그렇지만, 광의로 봤을 때 개인정보라고 볼 수 있는 소지가 크다"고 말했다. 

이어 "SKT가 개인정보 보호법 제29조의 안전성 조치 중에서 '침입 탐지 및 차단 조치' '접근 통제 조치' '악성 프로그램 침투 여부 점검 및 치료 프로그램 설치 운영 등의 갱신 등의 조치' 등의 위반 소지도 크다고 보여진다"며 "통신업계 관행보다 SKT의 (암호화) 보호조치가 미비한 것으로 판별이 날 경우에, SKT의 책임이 없다고 보기 힘들다"고 지적했다.

개인정보 보호법 제29조는 개인정보처리자에게 분실, 도난, 유출, 위조, 변조, 훼손 등을 방지하기 위해 대통령령으로 정하는 기술적, 관리적, 물리적 조치를 취할 것을 명시하고 있다. 시행령 제30조는 구체적으로 ▲침입 탐지 및 차단(제30조 3호) ▲접근 통제(제30조 2호) ▲악성 프로그램 점검 및 치료(제30조 4호) 등을 포함하고 있다.

최장혁 개인정보보호위원회 부위원장은 지난 4월 정부서울청사에서 열린 정례브리핑에서 SK텔레콤 해킹 사고와 관련해 SKT의 안전성 확보 조치 미흡 가능성을 공개적으로 지적한 바 있다. 

명현준 변호사(법무법인 명량)도 "유출된 정보가  '온라인에서 가입자가 누구인지를 증명하는 신분증과 같은 고유번호나 인증 키'라는 점을 고려하면, 개인정보에 포함될 여지가 크다고 생각된다"며 "유심 불법복제와 같은 범행을 통해 인증시스템의 취약점을 악용해 실질적인 피해로 연결될 수 있다는 점을 생각하면, 통신상 인증을 가능하게 하는 신분증도 개인정보에 포함될 여지가 있다"고 말했다. 

다만 "현행법상 유심 정보 암호화를 의무화한 조항은 없어 입법적 공백이 존재한다"며 "이번 사태는 법원이 '안전성 조치 미흡'을 근거로 SKT의 책임을 인정할지 여부가 핵심 쟁점이 될 것"이라고 덧붙였다. 

아울러 "SKT가 암호화를 하지 않은 이유가 무엇인지, 침입차단을 위한 정책이나 조치 등 다른 동시대 보편적인 보안수준의 보호가 이뤄지고 있었는지 등이 종합적으로 고려돼야 한다"며 "구체적인 통신사별 보안조치 자료들은 이번 사태를 계기로 공개돼야 할 것이고, 미진한 점들은 확인 즉시 보완해야 할 것으로 생각된다"고 강조했다. 

◆ 정부기관 "통신사 암호화 현황 관리하지 않아…법적 근거 없다"

현재 SKT를 비롯한 국내 주요 통신사의 암호화 현황을 관리하는 정부기관은 없다. KISA 측은 "국내 통신 3사 네트워크 암호화 현황을 알 수 있는 자료를 보유하고 있지 않다"며 "과학기술정보통신부의 네트워크 정책과에 문의를 해 봐야 한다"고 답했다. 이에 과기부 측은 "정부가 통신사 측에 암호화 현황을 요구할 법적 근거는 없다"며 "SKT는 해당 회사에서 자발적으로 암호화 실태를 공개한 것이고, 그 밖에 사고가 발생하지 않은 LG유플러스나, KT의 현황을 요구할 법적 근거가 없어서 암호화 현황을 알고 있진 못하다"고 설명했다.  

과기부가 주도하는 민관합동조사단은 SK텔레콤 해킹 사건에서 암호화 미비와 해킹의 연관성을 집중적으로 조사하고 있다. 조사단은 최근 추가로 발견된 8종의 악성코드가 어디서, 어떻게 들어왔는지 조사하고 있다. 현재 포렌식 분석을 통해 ▲악성코드 생성 시점 ▲HSS(홈가입자서버)와의 연결성 ▲유심 정보 유출 경로 등을 종합적으로 확인 중이다. 특히 암호화 미비로 인한 추가 피해가 입증될 경우, SKT의 기술적·관리적 책임이 강조될 전망이다. 민관합동조사단은 이르면 6월 중순쯤 중간 조사 결과를 발표할 계획이다.

SKT 유심 정보 유출 사태와 관련해 집단(공동)소송을 주도하고 있는 하희봉 변호사(로피드 법률사무소 대표)는 "암호화 미비와 해킹의 직접적 인과관계를 밝히기 전까지 판단이 조심스러운 면이 있다"면서도 "다만, 유심 정보가 암호화되지 않은 채 저장됐던 사실은 분명하고, 이런 상황에서 해킹이 발생해 대규모 정보 유출로 이어졌다면, SKT의 책임을 완전히 배제하기는 어렵다고 본다"고 말했다. 

한편, 최태원 SK그룹 회장은 전날 SK텔레콤 본사에서 열린 브리핑에 직접 참석해 최근 발생한 해킹 사태에 대해 대국민 사과를 발표했다. 최 회장은 "사고 이후 소통과 대응이 미흡했던 점에 대해서도 뼈아프게 반성한다"며 재발 방지를 위한 전사적 보안 체계 점검과 외부 전문가가 참여하는 정보보호혁신위원회 구성 등 후속 대책을 약속했다. 또, 정부 조사에 성실히 협조해 사고 원인 규명과 피해 복구에 최선을 다하겠다고 강조했다.

[서울=뉴스핌] 양윤모 기자 = 최태원 SK그룹 회장이 7일 오전 서울 중구 SK텔레콤 T타워 SUPEX홀에서 열린 해킹 사태 관련 일일 브리핑에 참석해 해킹 사고 이후 19일 만에 고개숙여 대국민 사과를 하고 있다. [공동취재] 2025.05.07 yym58@newspim.com

yek105@newspim.com

[뉴스핌 베스트 기사]

사진
중앙지검장 정진우…동부 임은정 [서울=뉴스핌] 김현구 기자 = 서울중앙지검장에 정진우(52·사법연수원 29기) 서울북부지검장이 내정됐다. 검찰 2인자인 대검찰청 차장검사는 노만석(54·29기) 대검 마약·조직범죄부장(검사장)이 맡게 됐다. 법무부는 1일 대검검사급(고검장·검사장) 검사 3명에 대한 신규 보임 및 대검검사급 4명, 고검검사급(차·부장검사) 2명 등 6명에 대한 전보 인사를 단행했다. 부임 일자는 오는 4일이다. 서울중앙지검. [사진=뉴스핌 DB] 정 지검장은 국가정보원 파견 근무 이력이 있는 '공안통'으로 분류된다. 2003년 인천지검에서 검사 생활을 시작한 그는 2011년 '저축은행비리합동수사단'이 만들어지자 대검 중앙수사부로 파견돼 일했고, 이후 법무부 국제형사과장·공안기획과장, 북부지검 형사4부장검사 등을 지냈다. 그는 금융정보분석원(FIU) 심사분석실장과 창원지검 진주지청장, 중앙지검 1차장검사 등을 거친 뒤 2022년 윤석열정부에서 검사장으로 승진해 대검 과학수사부장을 지냈고, 이후 춘천지검장을 거쳐 현재 북부지검장을 역임하고 있다. 2000년 대구지검에서 검사 생활을 시작한 노 검사장은 광주지검·인천지검 특수부장검사, 중앙지검 조사2부장검사, 서울고검 차장검사, 제주지검장 등을 역임했다. 특히 서울고검 차장검사 시절 서울고검장 직무대리를 했던 그는 심우정 검찰총장의 퇴임으로 한동안 검찰총장 직무대행을 맡게 됐다.  검찰 인사와 예산을 총괄하는 법무부 검찰국장에는 성상헌(52·30기) 대전지검장이 보임됐다. 성 지검장은 서울동부지검 형사6부장검사, 대검 범죄정보2담당관, 대검 수사정보2담당관, 중앙지검 형사1부장검사, 인천지검 형사1부장검사, 동부지검 차장검사 등을 지냈다. 그는 2022년 윤석열 정부 인사에서 검사장 승진 '1순위'인 중앙지검 1차장검사를 거친 뒤 다음 해인 2023년 인사에서 검사장으로 승진해 대검 기획조정부장으로 이원석 전 검찰총장을 보좌했다. 이후 지난해 인사에서 대전지검장으로 자리를 옮겼다. 아울러 동부지검장에는 임은정(50·30기) 대전지검 중요경제범죄조사단 부장검사, 남부지검장에는 김태훈(54·30기) 서울고검 검사가 각각 임명됐다. 임 부장검사는 검찰 내부고발자를 자처하며 검찰 개혁을 강하게 주장해 온 인물이다. 특히 그는 윤석열 전 대통령이 검찰총장 시절 그의 '저격수' 역할을 하며 강하게 대립각을 세우기도 했다. 김 검사는 윤석열정부 시절 법무부 검찰과장, 중앙지검 4차장검사 등 요직을 지냈다. 그는 과거 김건희 여사의 '도이치모터스 주가 조작 개입 사건'을 지휘한 인물로, 당시 수사팀의 무혐의 결론을 강하게 반대한 것으로 알려졌다. 법무부 장차관을 보좌해 정책을 총괄하는 법무부 기획조정실장은 최지석(50·31기) 서울고검 감찰부장이 맡게 됐으며, 현재 법무부 검찰국장을 맡고 있는 송강 국장은 광주고검장으로 자리를 옮겼다. 한편 사의를 표명한 이진동 대검 차장검사, 신응석 남부지검장, 양석조 동부지검장, 변필건 법무부 기획조정실장 등은 의원면직됐다. hyun9@newspim.com 2025-07-01 17:47
사진
폭염에 '온열질환자' 속출…환자 425명 [세종=뉴스핌] 신도경 기자 = 지난 30일 서울 전역에 첫 폭염주의보가 시작되면서 올해 온열질환자가 400명을 넘었다. 1일 질병관리청의 온열질환 응급실 감시체계에 따르면 지난 5월 15일부터 6월 29일까지 집계된 온열질환자는 425명으로 사망자는 3명에 달했다. 온열질환은 더운 날씨로 인해 열탈진, 열사병, 열 부종 등이 발생하는 질환이다. 40도 이상의 고열이나 현기증, 두통, 오한 등이 나타난다. [서울=뉴스핌] 김학선 기자 = 서울 전역에 올해 첫 폭염주의보가 발효된 30일 오후 서울 성동구 마장역 인근에서 시민들이 양산을 쓰고 뜨거운 햇볕을 피해 걷고 있다. 2025.06.30 yooksa@newspim.com 기상청은 지난 30일 서울 전역과 경기도 과천, 성남, 구리, 화성에 올해 첫 폭염주의보를 발령했다. 경기도 가평, 광주는 폭염주의보가 폭염경보로 격상됐다. 1일에도 서울의 낮 최고기온은 30도, 강릉 35도, 대전 32도, 광주 35도, 제주 31도로 더운 날씨가 계속될 전망이다.  날씨가 더워지면서 온열질환자 수도 점차 늘고 있다. 지난 5월 15일부터 5월 31일까지 온열환자 수는 62명으로 사망자는 없었다. 이 기간 중 하루 최대로 발생한 온열질환자 수는 21명이다. 반면 지난 28일에는 하루 최대로 발생한 온열질환자 수가 52명으로 늘었다. 지난 1일부터 29일까지 집계된 온열질환자 수는 361명으로 사망자는 3명에 달하며 급증하는 모양새를 보이고 있다.  연령별 현황에 따르면 온열질환자는 대부분 고령층에서 발생했다. 60대가 78명(18.4%)으로 가장 많았고, 50대 70명(16.5%), 30대와 40대는 각각 61명(14.4%)으로 집계됐다. 온열질환자가 속출하는 직업은 미상을 제외하고 단순 노무 종사자로 68명(16%)에 달했다. 농림어업숙련종사자 40명(9.4%), 무직 39명(9.2%) 순으로 나타났다. 열탄진으로 인한 온열질환자는 222명(52.2%)로 대부분을 차지했다. 열사병 85명(20%), 열경련 61명(14.4%), 열실신 53명(12.5%)이다. 하루 중 온열질환이 가장 많이 발생한 시간대는 오후 4∼5시(13.6%)다. 오전 10∼11시(11.8%), 오후 3∼4시(11.5%) 등의 순이었다. 온열질환을 예방하기 위해서는 물을 자주 마시고 시원한 곳에서 지내야 한다. 더운 시간대의 활동을 자제하는 것도 중요하다. 특히 체온 조절이 원활하지 않은 만성질환자, 어린이, 어르신은 더위에 오래 노출되지 않도록 더욱 주의해야 한다. 육현 원주세브란스기독병원 응급의학과 교수는 "온열질환은 충분한 수분을 섭취하고 더운 낮 시간대 활동을 피하는 것만으로 예방이 가능한 질환"이라며 "방치할 때 생명을 위협할 수 있어 각별한 주의가 필요하다"고 했다. 이어 육 교수는 "열사병, 열탈진, 열경련 등 온열질환이 발생할 경우 체열을 신속히 낮추는 것이 가장 중요하다"며 "옷을 느슨하게 풀고, 찬물에 적신 수건을 몸통에 덮거나 겨드랑이와 사타구니 부위에 찬 물병이나 선풍기 바람을 활용해 체온을 낮추는 응급조치가 도움 될 수 있다"고 강조했다. sdk1991@newspim.com 2025-07-01 11:24
안다쇼핑
Top으로 이동