유영상 SKT 대표가 25일 유심정보 유출 피해를 사과하며 전 가입자의 유심을 교체해주겠다고 발표했다./연합뉴스
가입자 수 2300만 명에 달하는 SK텔레콤이 고객 유심(USIM) 정보 유출 사태와 관련해 전 고객을 대상으로 유심을 무료로 교체하겠다고 밝혔다. 해킹 사실을 인지한 지 일주일만의 발표다.
유심 교체 발표에도 소비자들의 불안감은 사그라지지 않고 있다. SK텔레콤의 초기 대응은 소극적이었다. 해킹 사실이 알려진 직후 SK텔레콤은 홈페이지와 애플리케이션을 통해 사과문만을 게재했으며, 이후 고객 불안이 커지자 뒤늦게 ‘유심 보호 서비스’ 가입을 권유하는 문자 메시지와 안내 영상을 발송했다. 그러다 사고를 인지한 지 일주일만인 25일 유심 교체 발표가 나온 것이다.
이번에 해킹 피해를 본 시스템은 이동통신사의 핵심 인프라 중 하나인 홈가입자서버(HSS)다. 유심과 관련된 고유식별번호(IMSI), 단말기 고유식별번호(IMEI), 요금제, 인증키, 위치 정보 등이 저장돼 있어 통신 서비스 제공의 중추 역할을 한다. 이처럼 중요한 서버의 보안이 뚫렸다는 점에서 통신 인프라 전체에 대한 우려도 제기된다.
SK텔레콤은 지난 18일 오후 6시 9분, 사내 시스템에서 이상 징후를 처음으로 인지했다. 같은 날 오후 11시 20분에는 악성코드를 발견했고, 내부적으로 해킹 공격 사실을 확인했다. 그러나 과학기술정보통신부와 한국인터넷진흥원(KISA)에 정식으로 보고한 시점은 그로부터 이틀 뒤인 20일 오후 4시 46분. 관련 법상 사고 인지 후 24시간 이내에 신고해야 하는 규정을 어긴 셈이다.
정부도 뒤늦게 대응에 나섰다. 과기정통부는 비상대책반을 구성했고, 개인정보보호위원회는 개인정보 유출 신고를 접수한 후 본격적인 조사에 착수했다. 법 위반 사항이 확인될 경우 관련법에 따라 처벌하겠다는 입장이다.
SK텔레콤이 네트워크 보안에 상대적으로 안일했다는 지적도 나온다. 지난해 SK텔레콤의 정보보호 투자비는 600억 원으로, 2022년 대비 오히려 줄었다. 이는 KT(1218억 원)의 절반 수준이며, LG유플러스(632억 원)에도 미치지 못하는 규모다.
전문가들은 이번 유심 해킹 피해로 인해 또 다른 피해가 나올 수 있다고 경고한다. SKT 측은 이번 해킹 사고로 유출된 정보는 성명·주소·주민등록번호·이메일 등은 포함하지 않고 가입자 인증 및 식별 정보만 들어가 있는 것으로 파악됐다고 밝혔다.
SKT는 정확한 피해 규모와 사고 경위에 관해 말을 아꼈다. 민관합동조사단의 조사가 시작됐기 때문에 아직은 알릴 수 있는 내용이 없다는 이유에서다. 25일 고객 정보 보호조치 강화 설명회에서는 "피해 상황과 규모가 밝혀지지 않았기 때문에 일단 최대 피해가 발생한 것을 가정하고 보호조치를 취하겠다"고 말했다.
유심 정보가 탈취될 경우 타인이 이를 토대로 불법 유심칩을 만들어 신원을 도용하거나, 문자메시지(SMS) 데이터를 가로채는 등 범죄에 악용될 수 있다.
만약 유출된 유심 정보에 식별 정보 외에 또 다른 개인정보가 포함됐을 경우 2차 피해가 발생할 가능성이 크다.
국가전산학 박사1호이자 해킹 DB 전문가인 문송천 카이스트 명예교수는 “유심에는 A4용지 70장 분량의 민감한 데이터가 담겨 있다”며 "해커들은 가치를 지니는 정보를 노리기 때문에 유심칩의 단순 식별번호뿐만 아니라 HSS서버와 연결된 인증정보가 포함됐을 가능성이 있고, 이 연결경로가 뚫렸다면 서버 내부의 민감한 데이터에 접근했을 가능성도 배제할 수 없다"고 말했다.
이어 "이미 유출된 정보는 다크웹이나 해커 커뮤니티를 통해 거래되고 있을 가능성이 높아 2차 피해 가능성이 우려된다"고 말했다.