[SKT 해킹 그 후]'유심 교체'보다 '보호서비스'를 더 강조했다면

SK텔레콤 유심 정보 침해 사고 이후 전문가들로부터 통신사 정보보호체계를 비롯해 정보보호인증제도 및 법의 미비점과 개선안에 대해 들어봤습니다.

/이미지 제작=챗GPT

SK텔레콤 이용자가 유심을 교체하기 위해 이른 아침부터 줄을 선 이른바 '유심런'은 개인정보 유출에 따른 공포감을 여실히 보여줬다. 이에 더해 SKT는 신규 가입자용 유심은 제공하면서도 기존 가입자의 교체용 유심을 충분히 준비하지 않아 이용자의 불만을 키웠다. SKT가 '유심 교체'보다 '유심보호서비스'를 지속해서 독려했다면 이러한 공포나 불만이 덜 발생했을 것이라는 분석이 나온다.

SKT 이용자의 가장 큰 걱정거리는 '복제폰'을 이용한 범죄와 금융자산을 탈취하는 '심스와핑'으로 인한 피해 가능성이다. 하지만 4월29일 과학기술정보통신부는 1차 조사 결과 발표에서 단말기 고유식별번호(IMEI)가 유출되지 않아 심스와핑 범죄 가능성은 없다고 설명했다. SKT는 이 결과가 나오기 4일 전에 모든 피해 가능성을 열어두고 유심 무료교체를 실시하겠다고 밝혔다.

SKT 발표 뒤 '유심 교체 필수' 오해 발생

이달 9일 <블로터>가 온라인으로 주최한 'SKT 유심 정보 침해 사고를 통해 본 정보보호체계 및 법안의 미비점 및 보완책' 좌담회에서 전문가들은 유심보호서비스와 이상거래탐지시스템(FDS)을 고객에게 먼저 적용했다면 혼란이 덜했을 것이라며 아쉬움을 나타냈다.

염흥열 순천향대 정보보호학과 교수는 "복제폰을 만들고 범죄에 활용할 수 있는 IMEI 정보가 유출되지 않았기 때문에 유심보호서비스, FDS로 충분히 대응할 수 있었을 것"이라며 "유심 교체를 발표하면서 오히려 국민들의 불안이 커졌다"고 말했다. 이어 "최악의 상황이 무엇인지 정확히 평가하고 보안대책을 체계적으로 시행하지 못해 (유심런 같은) 초기 혼란을 야기했다"고 지적했다.

과기정통부에 따르면 전화번호·가입자식별키(IMSI) 등 유심의 일부 정보가 새나갔을 뿐 IMEI는 유출되지 않았다. IMSI를 활용해 유심을 복제할 수 있는 것은 맞다. 그러나 복제한 유심을 다른 휴대폰에 꽂아 금융자산을 탈취하는 심스와핑은  IMEI이 없으면 불가능하다.

유심보호서비스는 유심이 복제되더라도  IMEI가 다를 경우 휴대폰의 통신망 접속을 차단해 심스와핑을 막는다. 또 유심을 재설정하면 IMSI와 인증키가 바뀌기 때문에 유심 복제를 막을 수 있다. 상황을 종합하면, 유심 재설정과 유심보호서비스 등으로 피해를 예방할 수 있었지만 SKT의 대응이 유심 교체가 꼭 필요하다는 오해를 불러일으켰다는 것이다.

최경진 가천대 법대 교수는 "SKT는 이용자에게 유심을 꼭 교체해야 한다는 잘못된 인식을 줬다"며 "과기정통부와 협의해 유심보호서비스 일괄가입을 진행하고, (로밍과 유심보호서비스가 중복될 수 없는) 출국자가 피해를 당하면 전적으로 책임지겠다고 했어야 했다"고 말했다.

(왼쪽부터) 염흥열 순천향대 정보보호학과 교수, 최경진 가천대 법대 교수, 박진호 동국대 컴퓨터·AI학부 교수 /사진 제공=염흥열·최경진·박진호 교수

교체용 유심을 충분히 준비하지 못한 SKT의 책임을 지적하는 목소리도 있었다. 유심을 교체하기 위해 T월드 대리점에서 줄을 서고 기다린 이용자들은 따로 시간을 내 불편한 발걸음을 해야한다고 불만을 드러냈다. 일각에서는 SKT가 알뜰폰 가입자뿐만 아니라 본사 가입자에게도 택배 배송 등으로 이용자에게 교체용 유심을 전달해줘야 한다는 목소리가 나왔다.

SKT는 유심 무료 교체 서비스 시행을 밝힌 가운데 지속된 브리핑과 국회 청문회에서 유심보호서비스 가입 등 전제 조건 없이 2차 피해가 발생하면 전부 책임지겠다고 강조했다. 박진호 동국대 컴퓨터·AI학부 교수는 "SKT가 심각한 문제 발생 가능성을 정확히 보다 정확하고 빠르게 공지하고 사고에 따른 피해를 책임지겠다고 했다면 이용자 혼란이 덜 했을 것"이라고 말했다.

"쉽지 않은 피해자의 증명 책임…SKT가 책임져야 신뢰 회복"

SKT 이용자의 분노는 집단소송으로 이어졌다. 14일 기준 법무법인 11곳에서 진행하는 집단소송에 참여 의사를 밝힌 이용자는 3만명을 넘겼다. 전문가들은 손해배상 청구 소송에서 이용자가 피해를 입증하기는 매우 어려울 것이라면서도 SKT가 책임 있는 자세를 보여야 신뢰가 회복될 수 있을 것이라는 의견을 내놓았다.

법 전문가인 최 교수는 "원칙적으로 증명 책임은 피해자에게 있다"며 "사고 발생 시 손해의 직접적인 인과관계를 확인하기는 매우 어렵다"고 설명했다. SKT 해킹 사고를 둘러싼 사회적 감정과 달리 법적 구제 과정은 지난할 것이라는 뜻이다.

유영상 SKT CEO가 이달 2일 서울 중구 본사에서 열린 데일리브리핑에서 추가 고객보호 조치를 발표하고 있다. /사진 제공=SKT

박 교수는 "어떤 형태로든 유심 정보 유출로 일어난 사고는 SKT가 모두 책임지고, 제대로 된 보상과 후속조치를 내놓아야 신뢰가 회복될 것"이라고 말했다. 염 교수는 "SKT는 6~7월에 유심 교체를 완료할 것으로 보여 이 시기가 지나면 피해가 발생해도 보상 수준이 낮아질 것"이라고 우려했다. 그러면서 "스미싱 문자 링크를 클릭하지 않는 등 정보보호 수칙을 잘 지키는 것도 중요하다"고 당부했다.

윤상은 기자

기사원문보기

Copyright © 블로터