정부가 해킹 공격으로 고객정보가 유출된 SK텔레콤(SKT)에 대한 조사에 착수한 가운데 SKT측이 사고 원인과 피해 현황 등에 대한 정보공개에 지나치게 소극적인 모습을 보이고 있어 가입자들의 불안이 커지고 있다.
개인정보보호위원회는 22일 오전 10시경 SK텔레콤으로부터 유출 신고를 접수받아 즉시 조사에 착수했다. 개보위는 현장 조사 등을 통해 구체적인 유출 경위 및 피해 규모, 안전조치 의무 및 유출 통지·신고 의무 등 개인정보 보호법 준수 여부를 조사할 계획이다. 법 위반 사항이 확인될 경우 관련 법령에 따라 엄정히 처분한다는 방침이다.
이와 별도로 과학기술정보통신부와 한국인터넷진흥원(KISA)도 지난 20일 SKT로부터 침해사고 신고를 접수하고 피해현황 및 사고원인 조사 등을 진행중이다.
과기정통부는 개인정보 유출 등 피해현황, 보안취약점 등 사고의 중대성을 고려해 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했다.
필요 시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이며, 사고 조사 과정에서 SKT의 기술적, 관리적 보안 문제점이 발견될 경우 시정명령을 통해 개선토록 할 예정이다.
정부가 국내 최대 이동통신사인 SKT에 발생한 해킹과 고객정보 유출을 심각한 사안으로 보고 긴박하게 대응하고 있는 것과 달리 자체 조사를 진행중인 SKT는 정확한 사고 원인을 확인하지 못한 채 관련 정보 공개를 극도로 꺼리고 있다.
지난 19일 해킹 공격이 있었던 것으로 추정되는 장비는 4G 및 5G 가입자가 음성 통화를 이용할 때 단말 인증을 수행하는 서버인데, 이 서버에 유심 정보만 저장됐었는지 다른 정보가 함께 있었는지, 해당 서버가 외부 인터넷에 연결된 시스템인지 등에 대해 SKT는 밝히지 않고 있다.
또 유출된 유심 정보의 암호화 여부와 해커가 서버에 심은 악성 코드의 유형, 해킹된 서버에 접근 권한이 있었던 내부 직원들의 보안 레벨, 내부 시스템에 사용된 운영체계 종류가 윈도인지 개방형 리눅스인지 등도 조사 중이라는 이유로 공개하지 않고 있다.
SKT는 현재까지 주민등록번호, 주소, 이메일 등의 민감한 개인정보나 금융 정보는 유출되지 않았다고 밝혔지만, 회사측의 소극적인 정보공개로 가입자들 사이에서는 불안이 확산되고 있다.
이는 유심 정보를 도용해 복제한 후 가입자들의 재산을 탈취하고 사회적 피해를 일으킨 ‘심 스와핑’ 사례들이 국내에서도 여러 차례 발생했기 때문이다.
실제 2022년 초로 서울경찰청 사이버범죄수사대가 약 40건의 심 스와핑 피해 의심 사례에 대해 수사를 진행했다. 당시 피해자들은 휴대전화가 갑자기 먹통이 되고 ‘단말기가 변경됐다’는 알림을 받은 뒤 적게는 수백만 원에서, 많게는 2억7000만원 상당의 가상자산을 도난당한 것으로 알려졌다.
이들의 휴대전화에서 통신 이상이 생겼던 것은 범행 주체가 탈취한 유심 정보로 복제 유심을 만들어 다른 단말기에 넣은 뒤 피해자의 회선인 것처럼 사용하면서 본래의 휴대전화 통신이 끊겼기 때문이었다.
보안업계 한 관계자는 “암호 코드 유형은 국가 배후 해킹 조직이 사용하는 지능형 지속 위협(APT)과 유사점이 분석될 경우 배후를 특정해볼 수 있는 단서가 된다”며 “사고가 난 서버 접근 권한을 가진 내부자에게 악성 파일이 전염돼 추가 전파될 가능성 등도 관건”이라고 말했다.
이런 가운데 SKT이 지난해 정보보호 투자비를 대폭 줄인 것으로 나타나 유영상 대표 체제에서 네트워크 보안 투자에 소홀했던 것이 이번 사태를 야기한 것이 아니냐는 비판도 제기된다.
23일 KISA와 통신업계에 따르면, SKT의 작년 정보보호 투자비는 약 600억원으로 2022년(627억원) 대비 4% 가량 줄었다. 이는 지난해 1218억원의 정보보호 투자비를 집행한 KT의 절반에도 미치지 못하는 수준이다. 또 LG유플러스의 작년 정보보호 투자비(632억원)보다도 적다.
SKT의 정보보호 투자비 축소는 지난해 KT(19%), LG유플러스(116%)가 정보보호 투자비를 늘린 것과 대비된다. 2022년 당시 KT의 정보보호 투자비는 1021억원, LG유플러스는 292억원 수준이었다.
통신업계 한 관계자는 “유영상 사장 체제에서 인공지능(AI) 투자에 집중한 나머지 정보보호 투자에는 소홀해 뼈아픈 실책이 됐다”고 말했다.
- 전기 먹는 하마 데이터센터…전력 소비 줄이기 위해 LG전자·한전·한화 맞손
- SKT, SK브로드밴드 지분 인수 위해 카카오 지분 전량 매각
- iM증권 “SK하이닉스, 목표가 20만원으로 하향조정”
- [한백영의 생생 디자인] AI는 공정하지 않다: 첨단기술에 숨은 불편한 진실에 대하여
- LG전자, “美로 세탁·건조기 물량 이전, 판가 인상 검토”
