'IT 강국'의 이면을 드러낸 유심 해킹
[서울=뉴스핌] 양태훈 기자 = 우리나라는 세계 최고 수준의 정보통신 인프라를 갖춘 'IT 강국'으로 평가받아 왔다. 하지만 지난 4월 발생한 SK텔레콤 유심 해킹 사고는 그 이면에 감춰졌던 통신 보안의 허술한 민낯을 적나라하게 드러냈다. 최대 2,600만 건이 넘는 유심 인증 정보가 외부 해커에 의해 유출됐고, 피해 가능성은 SK텔레콤뿐 아니라 알뜰폰 가입자에게까지 미쳤다. 아직 과학기술정보통신부의 최종 조사 결과 발표가 남아 있지만, 지금까지 드러난 사실만으로도 통신망의 취약점을 되짚고, 제도와 보안 시스템을 전면적으로 손볼 필요성을 분명히 보여준다.
해커들은 통신사 내부망을 노렸다. VPN(Virtual Private Network) 장비의 취약점을 통해 악성코드를 심었고, 수백만 건의 인증 키와 IMSI(International Mobile Subscriber Identity, 국제 이동 가입자 식별번호), 전화번호를 빼돌렸다. 무려 2년 전이다. 그 사이 해커는 SK텔레콤 서버 내부에서 활동하며 민감 정보를 빼냈고, 고객들은 자신도 모르게 정보가 털린 채, 금융사기와 유심 복제의 위험 속에 방치돼 있었다.
 |
사고 발생 후 고객들의 불안은 빠르게 번졌고, 실제로 수십만 명이 유심을 교체하거나 통신사를 변경하는 등 실질적 후폭풍이 이어졌다. SK텔레콤은 사고 직후 사과문을 발표하고, 유심 무상 교체와 보호 서비스 기본 적용, 유심 재설정 기능 도입 등 다각도의 대응책을 내놨다. 정부의 요청에 따라 신규 가입 중단과 취약계층 지원도 이행했다. 그러나 초기 대응이 다소 늦었다는 지적은 피할 수 없다. 서비스의 기본 중에 기본인 보안 관리가 허술했다는 점, 일부 서비스가 이용자에게 제대로 안내되지 못했던 점 등은 대한민국 1등 통신사로서 숙고할 부분이다.
정부 역시 무거운 책임감을 가져야 한다. 사고 이후 가짜뉴스와 불안이 급속히 퍼졌지만, 신속하고 명확한 정보 제공은 부족했다. 국민 신뢰를 얻기 위해선 평상시에도 투명한 정보 전달 체계와 유사 사고 대응 매뉴얼이 정비돼 있어야 한다. 법적·제도적 미비도 함께 점검할 시점이다.
현재 국회와 정부는 유심 정보 암호화, 보안 서비스 기본 적용, 사고 시 위약금 면제 등 통신사 책임 강화를 위한 제도 개선을 논의하고 있다. 문제는 이러한 논의들이 실질적 제도로 이어지느냐다. 통신망 보안은 더 이상 민간 기업의 자율에만 맡겨둘 수 없는 공공적 영역이다. 기술적 보호 장치는 물론, 이용자가 실제로 보호받을 수 있도록 하는 법적 기반이 함께 마련되어야 한다.
또한, SK텔레콤은 고객 앞에 내건 약속을 끝까지 이행해야 한다. 피해 보상 기준, 서비스 고도화, 보안 체계 전반의 개선까지 하나하나 투명하게 진행할 필요가 있다. 이번 사태가 단지 해프닝으로 끝나선 안 된다. 국민 다수가 이용하는 통신망에서 발생한 사고인 만큼, 그에 걸맞은 책임과 변화가 뒤따라야 한다. 중요한 것은 사과나 보상이 아니라, 같은 일이 반복되지 않도록 만드는 변화다.
dconnect@newspim.com
