세계일보

그제 국내 대표 통신사인 SK텔레콤에서 해킹 공격으로 고객 개인정보가 유출되는 사고가 발생했다. SK텔레콤이 해킹 공격을 당한 기기는 홈가입자서버(HSS)로 이동통신사의 핵심 인프라다. 가입자의 유심(USIM·개인정보저장매체) 정보와 전화번호, 인증키, 요금제, 위치 정보 등 통신 서비스 제공에 필요한 주요 데이터를 통합 관리하는 시스템이다. 아직까지 해킹으로 SK텔레콤이 입은 구체적인 피해 규모는 확인되지 않았으나, 국가 대표 통신사 전산망이 해킹을 당했다는 사실만으로도 충격이 아닐 수 없다.

유출이 의심되는 정보는 유심 관련 이동가입자식별번호(IMSI)와 인증키값(Ki) 등이다. 기술적 난이도가 있긴 하나 충분히 유심 복제가 가능해 문자·통화 도청, 위치 추적, 금융인증 가로채기 등이 가능하다. 이들 정보는 재발급이나 변경도 어렵다는 점에서 결코 가볍게 볼 사안이 아니다. 그동안 유심 정보를 도용해 복제한 뒤 피해를 입힌 ‘심 스와핑’(SIM Swapping) 범죄가 한두 번인가.

이동통신사 개인정보 유출은 잊힐 만하면 반복된다. LG유플러스(2023년)와 KT(2012년)도 해킹으로 각각 30만건, 830만건의 개인정보가 유출됐다. 보안 시스템의 취약함과 내부관리 부실이 주된 원인이었다. 이번 SK텔레콤의 해킹 역시 소극적인 네트워크 보안 투자가 부른 ‘인재’라는 지적이 제기된다. SK텔레콤의 지난해 정보보호 투자비는 약 600억원으로 2022년(627억원) 대비 4% 정도 줄었다. 이는 지난해 1218억원의 정보보호 투자비를 집행한 KT의 절반 규모다. 같은 기간 LG유플러스의 투자비(632억원)에도 미치지 못한다. 경쟁사 해킹 사고를 타산지석으로 삼지 못한 SK텔레콤의 책임이 없다고 하기 어렵다.

정부는 비상대책반을 구성, 철저한 원인 규명과 함께 재발방지책을 마련하겠다고 했다. 차제에 국내 이동통신 업체의 보안 체계를 총체적으로 점검해 더는 해커의 먹잇감으로 전락하는 일이 없도록 해야 한다. 이동통신사는 국가 기간산업으로 보안 수준이 일반 기업에 비해 월등히 높다. 이런 통신사를 해킹했다는 점에서 이번 해킹이 북한의 소행일 가능성도 배제해선 안 된다. 개인정보 유출 피해는 고스란히 개인에게 돌아간다. 개인정보 자기결정권을 강화하고 권리와 이익을 적극적으로 보호하는 방안 마련도 필요하다. 업체 역시 보안 시스템 기술은 물론 보안 담당자 의식 수준을 높이는 데 투자를 아끼지 말아야 할 것이다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]