지난 4월 22일, SK텔레콤의 유심정보 서버가 해킹되어 가입자들의 개인정보가 유출된 대형사고가 터진지 오늘로 열흘이 지났다. 역대 통신사 관련 사고 중 가장 최악의 사태를 맞아, 미디어경북에서는 SKT를 이용하는 피해자들이 알아야할 모든 정보와 필수적으로 해야할 조치를 종합해봤다.
유출된 개인정보는 무엇이며, 어떤 피해가 발생할까? "해커가 복제폰 만들면 금융사기, 통화녹음 탈취 등 각종 위협에 노출"
해킹된 SKT의 HSS서버는 가입자 정보를 중앙에서 통합 관리하는 가장 핵심적인 데이터베이스 시스템이다. 과학기술정보통신부의 `SKT 침해사고 1차 조사결과` 발표에 따르면 유출된 정보들은 IMSI(가입자 식별번호), ICCID(유심카드 일련번호), 유심 인증키(통신사와 유심 사이에 통신이 가능한 인증용 키) 등 유심 복제가 가능한 정보 4종과, 유심 정보처리 등에 필요한 관리용 정보 21종으로 파악된다.
이제 해커는 개인식별번호와 가입자 정보를 빈 유심에 넣어 피해자의 번호와 동일한 복제폰을 만들 수 있다. 특히 핸드폰으로 하는 개인인증이 활성화된 한국에서는 각종 서비스의 가입이나 변경, 금융상품 이용 시 스마트폰 앱이나 문자 서비스 등을 통해 본인 인증을 진행하게 되는데 복제된 유심이 있다면 은행 등에서 얼마든지 가입자 몰래 본인 확인을 할 수 있게 된 셈이다. 이 뿐만 아니라 개인인증을 통해 확인 가능한 통화내역, 그리고 아이폰과 같이 통화녹음 파일이 스마트폰 하드웨어가 아니라 SKT의 `에이닷` 서비스를 통해 온라인에 저장되는 경우에는 나의 목소리 뿐만 아니라 세부적인 통화내용까지 엿볼 수도 있다. 이 때문에 금감원을 비롯한 기관 뿐만 아니라 국민은행, 농협 등 시중 금융사들 또한 앞다퉈 SKT가 제공하는 인증 서비스를 중단하고 있는 모습에서 사태의 심각성을 엿볼 수 있지만, 국내외 모든 관계기관에서 해당 조치를 언제까지 하게 될지 알 수 있는 방법이 없으므로 피해자 불안은 가중될 것으로 보인다.
해킹 사태가 발생된 진짜 원인은? "매출은 1등, 정보보호 조치는 꼴찌?"
1차적인 원인은 `BPF도어`라 불리는 백도어 공격으로 말미암아 정보 유출이 발생한 것으로 파악됐다. BPF도어는 2021년 보고서를 통해 처음 알려진 악성 코드로 중국 기반 해커 그룹 `레드멘션`이 중동과 아시아 지역의 통신업체, 금융 서비스 등을 공격하는 데 수년간 활용해 왔다. 그러나 BPF도어 악성 파일을 만들 수 있는 소스 코드가 누구나 접근할 수 있는 소위 `오픈소스`로 공개되어 있으므로 해커를 당장 중국 레드멘션으로 특정하기에는 어려운 실정이다. 그러나 보다 근본적인 원인은 SK텔레콤의 `부족한 보안 시스템 투자`로 인한 `유심정보의 암호화 미실시`라 할 수 있다.
2024년 기준 SK텔레콤 무선 서비스의 가입자는 약 2300만명으로 매출액은 약 10조 7천억원, 영업이익은 약 1조 8천억원으로 통신 3사 중 1위의 수익을 얻었다. 그러나 통신사의 정보보호 투자액의 경우 가입자 1300만명의 KT가 1218억원으로 1위, 가입자 1100만명인 LG U+가 632억원으로 2위, SK텔레콤은 600억원 투자에 불과해 꼴지를 기록했다. 가장 많은 가입자를 통해 가장 많은 수익을 벌면서도 정보보호 조치에는 가장 인색했던 것이다.
그래서일까? SKT는 고객들의 유심 정보에 대해 기본적인 암호화 조치도 없이 서버에 저장해왔다. 암호화란 예컨대 고객이 지정한 비밀번호가 `1234`일 경우 해시 함수를 통해서 실제 서버에는 `2c68318e****` 등과 같이 별도의 보안조치가 없이는 외부자가 인식할 수 없도록 변경하여 저장하는 조치를 말한다. 그러나 SKT 류정환 부사장은 유심정보에 대해서는 암호화를 의무화하는 법률이 없다는 이유로 암호화하지 않고 평문으로 저장해왔다고 어제 30일 출석한 국회에서 증언했다. 즉, 해킹은 표면적인 원인에 불과하고 해킹을 시도하더라도 불가능하도록 근원적인 조치를 충실히 취하지 않은 SK텔레콤의 위험한 보안정책이 이번 사태의 가장 핵심적인 원인이라 해석될 수 있는 것이다.
해킹 사태가 가입자들에게 늦게 알려진 이유는? "윤석열·김건희 내란 모의 SKT 비화폰 증거인멸 음모론도..."
SKT가 이번 유심 해킹 사태와 관련하여 최초로 사실을 알린 것은 4월 22일 자사 홈페이지의 `뉴스룸`을 통해서였다. 해당 게시물에서 SKT는 사건의 발생 시점을 `19일 저녁`이라 주장했고, 이로부터 3일이 지난 22일경에야 가입자들에게 사실을 알린 셈이다.
여기에는 세 가지 문제점이 있다. 첫째, 공지의 방법이 고객들이 문제를 즉시 인식할 수 있는 문자 메시지 등이 아니라 억지로 찾아보지 않으면 알 수 없는 홈페이지 게시글에 불과했다는 점, 둘째, 실제는 19일이 아니라 18일에 발생한 사고를 고의적으로 숨겨 `24시간 이내 신고` 법률을 위반한 혐의가 있다는 점, 셋째, 신고를 접수한 한국인터넷진흥원이 SKT의 보고 시점을 앞당겨 기록해줌으로써 `대기업 봐주기` 의혹이 있다는 점이다. 한국인터넷진흥원의 이상중 원장은 이번에 탄핵 선고를 받은 윤석열 전 대통령이 임명한 `인터넷 비전문가` 검찰 수사관 출신으로 `낙하산 인사` 의혹에 휩싸여 있다.
통신사는 사소한 안내에도 수많은 문자 메시지를 발송한다. 평소 사람들에게 많은 스트레스를 주고 있는 스팸문자에 대한 소극적인 대응도 오랜 이슈다. 그런데 정작 모든 가입고객들에게 심대한 위협을 미칠 수 있는 이번 사태에 대해서는 줄곧 귀찮으리만치 보내왔던 안내 문자 한통조차 없어 많은 비난을 받았다. 더 큰 문제는 그렇게 공지를 게시한 곳이 바로 자사 홈페이지의 `뉴스룸` 게시판이라는 것이다. 뉴스룸이란 시중 기업들이 외부 언론사나 일반을 대상으로 보도자료 등을 제공하기 위한 대외적인 공지 게시판을 말한다. 언론기자나 해당 분야의 전문가가 아니고서야 거의 찾아볼 일이 없는 곳이다.
공지 시점은 더 심각하다. `정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제58조의2(침해사고 신고의 시기, 방법 및 절차)`에 따르면 "침해사고의 발생을 알게 된 때부터 24시간 이내에 과기부장관 또는 한국인터넷진행원에 신고"해야 한다. SKT는 뉴스룸의 공지 게시물에서 사건 발생 시점을 `19일 저녁`이라 주장했는데, 국회 조사에 따르면 SKT의 최초 인지는 18일 오후 6시 9분이었으며, 같은 날 오후 11시 20분경 악성코드를 발견하고 해킹 공격을 받았다는 사실을 확인했다. 그리고 해킹 사실을 한국인터넷진흥원에 보고한 시점은 20일 오후 4시 46분으로 규정을 위반한 것이다.
이 모든 사태를 관리감독해야할 한국인터넷진흥원은 심지어 늦장 보고한 SKT의 사건 인지 시점을 `20일 오후 3시 30분`으로 기록해, 대기업이 24시간 이내에 신고하도록 한 규정을 어기자 알아서 무마해주려 한 것 아닌가라는 의혹까지 발생했다. 현재 한국인터넷진흥원의 이상중 원장은 기관의 취지인 `인터넷 진흥`과는 큰 관련이 없는 대검찰청 수사관 출신이다. 역대 모든 원장들이 대통령 정권과 무관하게 항상 관련 분야 전문가들로 임명된 것과 달라 `윤석열의 낙하산 인사`라는 의혹까지 붉어진 것이다. 이상중 원장은 서울중앙지검 당시 윤석열 전 검사와 근무기간이 겹칠 뿐만 아니라 2013년 윤석열 전 검사의 `국정원 여론조작사건`의 특별수사팀장으로 관련되기도 했다. 뿐만 아니라 취임 이후에도 더불어민주당 이재명 대표의 구속을 촉구하거나 단식투쟁에 대해 `XX이 풍년이다`는 조롱을 하는 등 정치적 중립을 위반하면서 논란이 되기도 했다.
이 때문에 현재 진행 중인 윤석열의 내란죄 재판과 관련하여 김건희 등 핵심인물들의 사용한 것으로 알려진 비화폰이 SKT인 점 등과 함께 이번 유심 해킹 사태를 일부러 조장한 것이 아니냐는 등의 음모론이 일기도 했다. 정부나 군, 김건희 등 내란 관계자들의 비화폰 유심을 강제적으로 교체하도록 조장하여 스마트폰 교체와 함께 자연스러운 증거인멸을 돕는 것 아니냐는 의혹이다.
늦장 대응을 넘어 아전인수격인 안내 방법에 대한 비난과 함께 윤석열의 낙하산 인사와 내란 모의 증거인멸 음모론까지 겹치며 사태는 걷잡을 수 없는 혼란이 계속되고 있다.
2부 기사 "[SKT 유심 유출 사태] 제2부 피해자 대처법 총정리"에서 계속...
;){kind=link}
