[정보통신신문=차종환기자]
실로 역대급 보안 사고다.
지난달 22일, SK텔레콤의 홈가입자서버(HSS)에 악성코드로 인한 대규모 유심(USIM) 정보 유출이 발생했다.
개인정보 유출 사건은 잊을만하면 들려오는 뉴스이긴 했다. 비단, 통신사뿐만 아니라 은행, 보험사, 카드사 등이 고객의 개인정보를 유출한 이력이 있다. 그때의 경험에 비춰보면, 일단 내가 그 회사들의 고객인지 파악하고, 고객이면 적당한 선에서 ‘욕’이나 해주고, 내가 고객이 아니면 그냥 남일로 치부하면 그만이었다.
그러나 이번 SKT 유심 정보 유출 사건은 돌아가는 모양새가 심상치 않다. 보통 회사들은 유야무야 덮어놓는 식으로 대처했기에 이번에도 그럴 것이라 생각했지만 SKT는 얼른 유심을 교체하든지 유심보호 서비스에 가입하든지 하라고 강조한다. 심지어 국정원이 직원들 유심 다 바꾸라고 공지하고, 여타 대기업들도 회사 기밀유출 방지를 위해 유심 교체를 권하고 있다. 이쯤되면 가슴이 철렁 내려앉는다.
SKT에서 유출된 정보들은 IMSI, ICCID, 유심 인증키 등 유심 복제에 활용될 수 있는 정보 4종과, 유심 정보처리 등에 필요한 SKT 관리용 정보 21종이라고 한다. 개인으로 치자면, 누군가 내 주민등록증을 복사해 나와 똑같이 행세할 수 있다는 얘기다.
과거와 달리 이것이 더 큰 문제가 되는 이유는 지금은 거의 모든 금융 업무를 모바일로 처리할 수 있는 세상이 됐기 때문이다.
최악의 시나리오는 소위 ‘심스와핑(SIM Swapping)’이라 불리는 복제폰 해킹이다. 불법 유심 정보로 복제폰을 만들고, 피해자의 메일 계정 및 카카오톡 계정 정보를 탈취해 가상화폐 거래소 등에서 가상화폐를 빼돌리는 것이 가능해진다.
소름이 돋는 것은 이러한 심스와핑이 이미 2021년 실제 일어난 일이라는 점이다. 30여명의 피해자가 수백만원에서 수억원의 가상화폐를 도둑맞았다.
최근 국회입법조사처는 '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서를 통해 이동통신망 핵심부가 해킹되는 것은 국가 안보에 중대한 위협이 될 수 있어 구조적 대응이 필요하다고 지적했다.
보고서는 개인정보 유출 대상자가 특정되지 않아도 전체 가입자에게 구체적 상황과 대응 방법 개별 통지, 해킹 사고가 광범위하거나 중대한 위험으로 이어질 수 있다고 판단되는 경우 정부의 재난 경보 체계 활용, 해킹 사고에 관한 정부 조사 권한을 강화하는 정보통신망법 개정 등을 제시했다.
다 좋다. 그저 또 소 잃고 외양간 고치고 있는 게 안타까울 뿐이다.
SKT를 제외한 통신사는 물론이요, 고객의 데이터를 취급하는 수많은 기업들이 우리는 아니라며 가슴을 쓸어내리고만 있지 않길 바랄 뿐이다. 이번 사고는 모든 기업이 해당된다. 더 이상 고객이 벌벌 떨며 서비스를 이용하는 일이 없도록 하나부터 열까지 시스템에 취약점은 없는지 꼼꼼히 살펴봐야 할 일이다.
