과방위 소속 민주·혁신 의원들
2차 조사 결과 관련 기자회견
“SKT 보안 체계 총체적 부실”
▲류정환 SK텔레콤 네트워크인프라센터장, 유영상 SKT 대표, 강도현 과학기술정보통신부 제2차관(왼쪽부터)이 지난 8일 오후 국회 과학기술정보방송통신위원회 SKT 해킹 관련 단독 청문회에 출석했다. 사진=이태민 기자
국회 과학기술정보방송통신위원회(과방위) 소속 더불어민주당·조국혁신당 의원들이 다음달 대선 직후 SK텔레콤 유심(USIM·가입자식별모듈)정보 해킹 사고에 대한 진상규명에 나서겠다고 밝혔다. 이들은 주무부처인 과학기술정보통신부의 대처가 부실했다며 유상임 장관 사퇴를 촉구키도 했다.
19일 국회 과방위 소속 민주·혁신당 의원들은 서울 여의도 국회 소통관에서 기자회견을 열고 이같이 강조했다. 국정조사를 비롯한 모든 수단을 동원해 재발방지책을 마련함으로써 국민 불안을 해소하겠다는 취지다.
앞서 과방위는 지난 8일 진행된 SKT 단독 청문회에서 대선 이후 KT·LG유플러스 등 국가기간통신사업자를 대상으로 보안 체계를 전면 점검하겠다고 밝힌 바 있다. 현재 대선 국면과 맞물려 청문회 및 현안질의를 열기 어려운 상황이 반영됐다.
당시 최민희 과방위원장(민주)은 “이번 해킹 사고에 대해 끝까지 파헤치고 일주일 뒤 다시 청문회를 열고 싶지만 대선 일정 때문에 불가하다“며 “대선 이후 이 문제를 처음부터 다시 짚고 철저히 살필 계획"이라고 언급했다.
과방위원들은 SKT의 정보 보안 관리 체계가 총체적으로 부실했으며, 사고 수습에 대한 정부 대처 또한 무능했다고 비판했다.
앞서 조사단이 이날 오전 발표한 2차 결과에 따르면, 단말기 고유식별번호(IMEI) 등 개인정보가 임시 보관된 서버 일부도 해커의 공격을 당한 것으로 확인됐다. 해당 서버는 통합고객인증 서버와 연동되는 임시서버들로, 총 29만1831건의 IMEI와 다수의 개인정보(이름·생년월일·전화번호·이메일 등)가 담겨 있었다.
정부는 개인정보가 임시 보관된 서버 일부에서 악성코드를 발견·조치한 점으로 미뤄 유출 위험 가능성이 새롭게 확인된 것으로 보고 있다. 반면 SKT는 해당 서버에 담긴 자료들이 사실상 복제가 불가능하다는 점에서 추가적인 개인정보 유출은 확인된 바 없다는 입장이다.
과방위 소속인 황정아 더불어민주당 선거대책위원회 대변인은 이날 기자회견에서 “조사단은 유출 규모가 9.82GB(가입자식별번호(IMSI) 기준 2695만건)이며 전 고객의 정보에 해당한다고 발표했는데, 이는 초기 발표의 신뢰성을 훼손하는 것"이라며 “1차 조사에서 유출은 없었다고 단언했던 단말기식별정보(IMEI) 정보유출 가능성이 2차 조사에서 확인된 것으로 판단된다"고 말했다.
아울러 아울러 “이번 사태의 총괄 책임부처인 과기정통부의 무책임한 대응은 심각한 직무 유기"라며 “유 장관은 책임지고 즉각 사퇴해야 한다"고 주장했다.
특히 악성코드 최초 설치 시점인 2022년 6월부터 2024년 12월까지 약 2년 반 동안 로그 기록이 남아 있지 않다는 점에서 보안 관리 체계가 허술했다고 과방위는 봤다. 정부와 SKT의 개인정보 유출 여부를 둘러싼 공방에서 입장차가 가장 극명한 대목이기도 하다.
이는 해당 기간 동안의 기록 자체가 없기 때문에 자료 유출 여부가 확인되지 않은 것으로, 유출이 없었다고 보기는 어렵다는 게 과방위 주장이다. 특히 3년 가까이 보안 점검 없이 방치된 사실은 SKT의 보안 관리 체계가 심각하게 부실하다는 점을 보여준다는 지적이다.
과방위는 “IMEI 정보와 개인정보 유출은 2차 피해로 이어질 수 있다는 점에서 매우 중대한 사안"이라며 “SKT는 '고객 피해는 없다'며 빠져나갈 궁리를 하고 있는데, 변명으로 일관하지 말고 명확한 책임 규명에 협조하고 피해를 당한 이용자와 유통망에 충분한 배상 방안을 마련해야 한다"고 촉구했다.
과방위는 이날 통신사-금융기관간 공조를 강화해 인증수준을 최대한 격상하고, SKT는 유심 교체를 최대한 서둘러 줄 것을 요청했다. 아울러 KT·LG유플러스 등 통신사에는 전 고객 대상 유심보호서비스 가입을 추진할 것을 촉구했다.
윤석열 정부의 보안 체계 점검과 대응이 부실했다는 지적도 나왔다. BPF백도어에 대한 공격 위험이 수 년 전부터 제기돼 왔고, 지난 2023년 LGU+ 개인정보 유출 사고가 있었음에도 선제적 보안점검 및 대책수립에 소극적으로 임했다는 것이다.
황 대변인은 “무책임·무능 정권 아래 통신사의 보안 관리는 더욱 허술해지고 국가통신 인프라에 뚫린 보안 구멍은 걷잡을 수 없이 커졌다"며 “기관들이 감염 사실은 인정하면서도 실제 피해 여부를 축소하거나 은폐하고 정부가 눈감아 주고 있는 것이 아닌지 합리적 의심을 자아낸다"고 지적했다.
그러면서 “과방위는 국가통신보안 인프라 고도화에 만전을 기하고, 과징금·처벌 등 법·제도적 책임 또한 국민을 대신해 끝까지 물을 것"이라며 “재발방지책과 대안도 확실히 챙겨 국민 불안을 덜어낼 수 있도록 할 것"이라고 덧붙였다.
;){kind=link}