국가 사이버전쟁 의심되는 SKT 해킹 사태와 정부 책임[사설]

SK텔레콤 가입자의 유심(USIM) 정보 해킹 사태는 파면 팔수록 오히려 불안이 더 커진다. 특히 주무 부서인 과학기술정보통신부의 오락가락 해명이 사태를 악화시키고 있다. 이번 사태를 조사 중인 민관 합동 조사단이 19일 발표한 2차 조사 결과는 지난 1차 조사 때보다 해킹이 이미 3년 전부터 광범위하게 이뤄진 사실을 확인해 충격이다. 유심 정보 유출이 가입자 전원으로 확대됐고, 복제폰에 악용될 수 있는 단말기 고유식별번호(IMEI)와 이름·생년월일 등까지 유출됐다. 악성 코드 감염 서버는 5대에서 23대로 늘었고, 확인된 악성 코드 수도 4종에서 25종으로 확대됐다. 심지어 악성 코드는 3년 전인 2022년 6월 15일 설치됐다고 한다. 그런데도 지난해 12월 2일까지는 서버 로그 기록이 없어 유출 여부조차 확인하지도 못한다.

어이없는 것은 과기정통부다. 1차 조사 때는 IMEI 정보는 유출되지 않아 복제폰 우려가 없다더니, IMEI 유출이 확인되자, 이번엔 제조사의 단말기 고유인증키를 모르면 복제가 안 된다고 말을 바꿨다. 이러니 핵심 개인정보 유출에 따른 예금 인출 등 2차 피해를 걱정할 것 없다는 정통부의 말이 곧이곧대로 들리지 않아, 가입자의 불안과 불만이 더욱 커질 수밖에 없다. SKT 측이 피해를 100% 보상한다고 하지만, 정통부도 책임을 피할 수 없다.

훨씬 더 심각한 문제는, 사이버전쟁 성격이 뚜렷해지고 있다는 점이다. 악성코드가 3년 가까이 잠복했다는 사실은 금전적 목적의 해킹과는 전혀 다른 특성이다. 이번에 확인된 악성코드 25종 중 24종이 중국 당국 지원을 받는 해커의 단골 수법인 ‘BPF 도어’ 계열이었다고 한다. 최태원 SK그룹 회장의 최근 “보안 문제가 아니라 국방 문제라고 생각해야 할 상황”이라는 언급도 같은 맥락이다. 1차적으로 SKT 책임이지만, 사이버 안보를 책임진 정부, 사이버안보기본법도 만들지 못하는 국회의 책임도 무겁다.