기업 정보보호 투자 확대도 필요
유심 개인정보 관련 질문에 답하는 류정환 SKT 부사장
(서울=연합뉴스) 김성민 기자 = 류정환 SK텔레콤 부사장이 2일 서울 중구 SKT타워에서 열린 유심 정보 유출 관련 일일 브리핑에서 개인정보와 관련된 내용에 대해 답변하고 있다. 2025.5.2 [email protected]
(서울=연합뉴스) 김성민 기자 = 류정환 SK텔레콤 부사장이 2일 서울 중구 SKT타워에서 열린 유심 정보 유출 관련 일일 브리핑에서 개인정보와 관련된 내용에 대해 답변하고 있다. 2025.5.2 [email protected]
(서울=연합뉴스) 김주환 기자 = SK텔레콤 유심(USIM) 해킹에 따른 공포가 일파만파로 확산하는 가운데 전문가 사이에서는 보안 규제를 정비하고 정보보호 분야 투자를 늘려야 한다는 지적이 나온다.
류정환 SK텔레콤 부사장은 지난달 30일 국회 과학기술정보방송통신위원회(과방위)에 출석해 "네트워크 쪽은 암호화가 되어있지 않은 부분이 많다"며 악성코드 침투 당시 유심 데이터가 암호화되어 있지 않았다고 시인했다.
류 부사장은 "법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다"며 유심 정보 암호화 관련 내용이 법령에 명시되어 있지 않았다는 내용도 언급했다.
현행법상 USIM 칩에 담긴 가입자 식별번호(IMSI), 가입자 인증키 등은 의무 암호화 대상이 아니다.
개인정보보호위원회 고시 '개인정보의 안전성 확보조치 기준'에 따르면 개인정보처리자가 암호화해 보관해야 할 정보로는 ▲ 주민등록번호 ▲ 여권번호 ▲ 운전면허번호 ▲ 외국인등록번호 ▲ 신용카드번호 ▲ 계좌번호 ▲ 생체인식정보 등 7가지만 명시돼있다.
문제는 정보기술(IT) 발달로 이동통신사, 플랫폼 기업들이 서비스 제공 과정에서 수집하는 정보의 폭이 넓어지고 있고, 이에 따라 해커들의 '먹잇감' 또한 늘어나고 있다는 점이다.
지난해 초 유출된 중국 보안업체 아이순(iSoon)의 내부 문건에 따르면 이 기업은 해킹을 통해 방대한 각국 통신 기업과 정부 기관의 내부 데이터를 수집해왔다.
아이순이 훔친 데이터 목록 중에는 3테라바이트(TB) 가량의 LG유플러스 고객 통화 기록이 포함된 것으로 나타나 파문이 일었다.
![유심 교체하기 위해 대기 중인 SKT 이용자들
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]](https://imgnews.pstatic.net/image/001/2025/05/04/PCM20250428000040990_P4_20250504070123024.jpg?type=w860)
유심 교체하기 위해 대기 중인 SKT 이용자들
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]
과기정통부와 국정원, 한국인터넷진흥원(KISA) 등은 당시 실제 해킹이 있었는지, 구체적으로 어떤 정보가 유출됐는지 등 해킹 경위에 대한 조사에 들어갔다.
다만 통신사 서버에 저장된 USIM 정보의 경우 다른 개인정보와 달리 수시로 참조가 이뤄지는 정보인 만큼 현실적으로 암호화 적용이 어렵다는 반론도 나온다.
류 부사장은 지난 2일 해킹 사태 대응 관련 브리핑에서 "USIM 정보가 담긴 홈가입자서버(HSS)는 암호화를 하지 않는 것이 기본"이라며 "매번 통화할 때마다 암호화된 정보의 암호를 풀었다가 다시 암호화하려면 레이턴시(지연시간)가 발생하기 때문"이라고 설명했다.
그러면서 "암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다"고 덧붙였다.
염흥열 순천향대 정보보호학과 교수는 "네트워크 단에서 실시간 처리가 중요한 만큼 암호화가 어려운 점은 이해할 수 있지만, 요즘은 컴퓨팅 성능이 높아지는 만큼 일정 부분 적용이 가능할 것으로 보인다"고 설명했다.
그러면서 "정보통신기반보호법 또는 시행령 개정을 통해 이동통신사 서버를 정부의 보안 분석 대상으로 편입할 필요도 있다"고 덧붙였다.
더불어민주당 최민희 의원이 과기정통부로부터 제출받은 자료에 따르면 해킹 공격을 받은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템 등은 국가·사회적으로 보호가 필요한 주요 정보통신 기반 시설로 지정되지 않았다.
이와 관련된 질의에 과기정통부 관계자는 "이번 SK텔레콤 사건에 대한 정확한 조사와 대책 마련 과정에서 서버 등 시설 역시 정보통신기반보호법상 주요 기반 시설로 지정하는 방안을 검토할 수 있을 것"이라고 말했다.
SKT, 유심 교체 기다리는 시민들
(서울=연합뉴스) 서대연 기자 = 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에서 시민들이 유심 교체를 위해 줄을 서 차례를 기다리고 있다. 2025.4.28 [email protected]
(서울=연합뉴스) 서대연 기자 = 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에서 시민들이 유심 교체를 위해 줄을 서 차례를 기다리고 있다. 2025.4.28 [email protected]
통신사들이 이번 사태를 계기로 정보보호에 투자하는 금액을 늘려야 한다는 지적도 나오고 있다.
SK텔레콤이 지난해 정보보호 분야에 투자한 금액은 본사 600억원, 자회사 SK브로드밴드 267억원 등 총 867억원으로 나타나 경쟁사인 KT(1천218억원)에 비해 적었다.
작년 아이폰16 홍보 모델로 그룹 뉴진스를 발탁해 업계에서 화제가 됐던 SK텔레콤은 같은해 별도 기준 광고선전비로 1천367억원을 집행했다.
염흥열 교수는 "각 기업이 최고정보보호책임자(CISO)의 권한과 책임을 중요 경영진 수준으로 격상하고, 이에 걸맞은 투자를 집행해야 한다"며 정부도 기업의 보안 인프라 투자를 정책적으로 지원해야 한다"고 제언했다.
[email protected]
