고객 모르는 사이 유심정보 해킹 피해
유출 1만명 이상땐 예외 규정 있다지만
주의 문자 없이 ‘T월드 홈페이지 공지’만
해외선 유사사례로 수백억원 배상 판결
“투명한 대응·예방이 보안의 핵심” 논란
▲서울 중구 SK텔레콤 본사 모습. 사진=연합뉴스
최근 서버의 유심 정보 해킹 피해를 입은 SK텔레콤(SKT)이 안일한 대응을 하고 있다는 지적이 나온다. 고객에게 해킹 소식을 알리는 것도 지연되면서 피해를 키울 수 있다는 지적이 나오고 있다.
SKT 측은 유출된 정보도 민감한 개인정보는 아니라는 입장이지만, 해외의 경우 심각한 피해로 이어진 경우도 있어 주의를 소홀히 할 수 없다는 지적이다.
늑장 공지로 키워진 고객 불안
24일 IT업계에 따르면 현재까지도 SKT은 지난 19일 밤 발생한 자사 핵심 시스템 해킹 사고와 관련해 대부분의 고객에게 직접적인 주의 문자를 발송하지 못하고 있다.
모든 고객이 접할 수 있는 정보는 SKT 서비스 페이지인 T월드 내 공지사항이 전부다. 이처럼 이용자 보호 조치가 미흡한 가운데, 유심(USIM) 인증정보 유출이 심각한 2차 피해로 이어질 수 있다는 우려가 커지고 있다.
지난 19일 밤 국내 최대 이동통신사인 SKT의 핵심 시스템이 해킹당한 사실이 확인됐다.
공격자는 SKT의 홈가입자서버(HSS)에 악성코드를 삽입해, 유심(USIM) 관련 정보 일부를 유출한 정황이 포착됐다. 사고 발생 시각은 오후 11시 무렵으로, SKT는 약 40분 만에 이를 감지하고 악성코드 삭제 및 관련 장비 격리에 나섰다.
HSS(Home Subscriber Server)는 LTE와 5G 네트워크에서 가입자 인증과 통신망 접속 권한을 통제하는 핵심 장비로, 고객의 IMSI(국제 이동 가입자 식별 번호), 인증키(Ki) 등의 민감 정보를 포함한다.
SKT는 사고 다음 날인 20일 한국인터넷진흥원(KISA)에 침해 사실을 신고하고, 22일 오전에는 개인정보보호위원회(PIPC)에 유출 정황을 통보했다고 밝혔다.
같은 날 SKT는 자사 홈페이지와 앱을 통해 사건 발생 사실을 공개했다.
그러나 고객 대상 직접 고지(MMS)가 아직 시작되지 않아 논란이 확산 중이다.
SKT는 사고 발생 후 약 72시간이 지난 시점에 고객들에게 공지했으며, 그마저도 홈페이지 게시 공지로 한정됐다.
이는 개인정보보호법(PIPA)이 명시한 '지체 없는 통지' 원칙과 배치될 소지가 있다. 유출 규모가 1만명 이상인 경우에는 홈페이지 게시로 대체할 수 있도록 예외 규정을 두고 있지만, 사안의 중대성을 고려할 때 보다 적극적인 통지가 필요했다는 평가가 나온다.
게다가 사고 이후 SKT는 '유심 보호 서비스' 무료 가입을 안내하며 고객 불안을 해소하려 했지만, 이 서비스는 옵트인(opt-in) 방식이어서 가입자의 자발적 신청이 필요하다.
정작 고객에게는 공지가 제대로 닿지 못했는데, 고객의 자발적인 신청이 필요한 해결책을 내놓은 것이다.
심지어 SKT의 해킹 공격 최초 인지 시점이 고객 정보 탈취를 인지한 날로 알려진 19일보다 하루 빨랐던 것으로 나타났다. 인지 24시간 이내에 신고해야 하는 규정을 위반했다는 얘기다.
정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다고 규정하고 있다.
KISA에서도 SKT가 24시간 내 해킹 공격을 보고해야 하는 규정을 위반했다고 밝혔다.
이에 대해 SKT 측은 “23일부터 순차적으로 안내 문자를 보내고 있다"며 “가입자가 많아 한 번에 보낼 수 없다"고 설명했다. 현재까지 개별 안내를 받은 고객이 얼마나 되느냐는 질문에는 답변하지 못했다.
한편 유럽연합(EU)의 GDPR은 침해 사고 발생 시 72시간 내 규제당국 신고와 동시에, 이용자 대상 직접 통지를 원칙으로 요구한다.
이에 비해 한국의 현행 법제는 '피해자 특정이 어려운 경우' 홈페이지 공지로 갈음할 수 있도록 허용하고 있어, 글로벌 기준 대비 고객 보호가 상대적으로 취약하다는 비판도 제기된다.
▲이미지=ChatGPT
유심 정보 유출, 개인정보만큼 심각한 위험 될수도
특히 이번 사건이 심각해질 수 있는 이유는 유출된 정보의 성격이다. SKT는 주민등록번호, 주소, 계좌번호 등 전통적인 개인식별정보(PII)는 유출되지 않았다고 밝혔다.
그러나 유출 가능성이 제기된 IMSI와 Ki는 단순 식별자 수준을 넘어서 네트워크 접속을 위한 인증 자격증명(Authentication Credential)이 가능한 정보다.
특히 Ki는 USIM 복제(SIM Cloning) 공격의 핵심 정보로, 유출 시 심 스와핑(SIM Swapping) 등의 2차 피해로 직결될 수 있다.
심 스와핑이란 심 카드를 무단으로 복제하거나 바꿔치기한 뒤 휴대전화 본인 인증을 통과해 타인의 금융 자산을 탈취하는 범죄다.
실제로 해외에서는 유사한 사례들이 반복적으로 발생했다. 미국에서는 2018~2019년 동안 수백만 달러의 암호화폐가 심스와핑 공격을 통해 탈취된 사례가 보고됐다.
최근 미국의 대형 통신사 T-Mobile은 지난 2020년 2월 발생한 심 스와핑 사건으로 고객에게 피해를 입히면서 3300만달러(약 471억원)을 배상하라는 판결을 받기도 했다.
이 사건의 공격자는 심 스와핑으로 고객의 전화번호 통제권을 탈취해서 문자 메시지(SMS) 기반의 2단계 인증 코드나 비밀번호 재설정 링크 등으로 모두 가로채고, 이를 통해 고객의 암호화폐 지갑에 접근해 이를 탈취했다.
결국 유심 정보가 해당 고객의 이름이나 주민번호 등의 식별정보는 아니더라도 범죄에 이용될 수 있다는 얘기다.
SKT는 본 사건에 대해 '유심 정보에는 성명, 주소, 주민번호, 이메일 등의 개인정보는 포함돼 있지 않'라는 프레임을 강조했지만, 기술적·실질적 위험성을 축소한 해명이라는 지적이 나오고 있다.
고도 보안 뚫린 SKT, 법적 제재 가능성도
한편 정보보호 업계는 이번 사고가 기술적으로는 해커가 고도의 내부 접근 권한을 활용했거나, 특정 시스템의 제로데이 취약점을 이용했을 가능성이 있다고 보고 있다.
아직 해킹 경로는 조사 중이지만, HSS 서버라는 고도 보안 시스템이 뚫렸다는 점에 따라 SKT의 전반적인 보안 아키텍처에 대한 재검토가 필요할 수도 있다
과학기술정보통신부와 KISA, PIPC는 현재 SKT와 공동으로 사고 원인 분석 및 재발 방지 대책 마련을 위한 조사를 진행 중이다.
향후 개인정보 유출 범위와 피해 고객 수가 특정되면, SKT는 법적 제재를 받을 가능성도 없지 않다. 2023년 LG유플러스 개인정보 유출 사건 당시, 개인정보보호위원회는 68억원의 과징금을 부과한 바 있다.
한 보안업계 관계자는 “국내 통신사의 핵심 인프라가 얼마나 취약할 수 있는지를 보여준 사례"라며 “통신사 보안은 기술보다 '투명한 대응'과 '사전 예방 체계'에 달려 있는데 충분한 조치가 이뤄지고 있다고 보이지 않는다"고 지적했다.
;){kind=link}