유심 해킹이 드러낸 시스템 허점 무너진 디지털신뢰
미흡한 보안의식 미숙한 초동 대응 등 위기관리 실패
기업 정부 개인 모두 디지털사회 일원 역할 다해야
2007년 6월 스티브 잡스가 아이폰을 처음으로 출시한 이후 20년이 채 지나지 않았지만 이제 스마트폰은 현대인의 ‘디지털 아바타’가 됐다. 통신 금융 쇼핑 병원 여행은 물론 공공기관 신원확인에 이르기까지 일상의 모든 것이 스마트폰으로 이루어진다. 이러한 생활속의 편리함은 광범위한 통신망과 그 안에 장착된 가입자 식별정보 모듈인 ‘유심’(USIM, Universal Subscriber Identity Module)에 대한 깊은 ‘신뢰’가 있기 때문에 가능하다.
하지만 이번에 발생한 SK텔레콤(SKT) 유심 해킹 사태는 우리가 믿고 있는 ‘디지털 신뢰 시스템’이 얼마나 허술하며 순식간에 붕괴될 수 있는 지 확인하는 계기가 됐다. 특히 이번 SKT 사태는 통신 인프라의 메인 시스템인 홈가입자서버(HSS, Home Subscriber Server)가 뚫렸다는 점에서 과거 부가서비스 시스템 침해를 경험한 LGU+와 KT의 고객정보유출과 차원이 다르다고 정부 스스로도 평가한다.
4월29일 정부의 1차 조사결과 유심 복제에 악용될 가능성이 있는 개인정보 4종과 SKT 내부 관리용 정보 21종 등 총 25종이 해킹됐다. 해킹된 개인정보 4종은 가입자 고유식별정보(IMSI), 유심고유번호(ICCID), 유심과 네트워크를 연결하는 인증비밀키(K-값), 전화번호(MSISDN) 등이다. 전문가들은 해킹된 유심 정보만으로 복제 유심(심 클로닝)을 만들어 가입자의 통신이나 문자를 가로챌 수 있지만 은행 등 금융거래 범죄에 직접 악용하기는 쉽지 않다고 분석한다. 하지만 노출된 개인정보가 인터넷망의 다양한 다른 고객정보와 연결돼 예상치 못한 2차 피해로 이어질 가능성은 배제할 수 없다는 것이다.
가장 우려하는 것은 유심인증키(K-값)의 유출이다. K-값은 유심과 통신망을 연결하는 비밀 열쇠다. 이 비밀 열쇠가 해킹되면 동일한 유심을 복제할 수 있다고 한다. 복제 유심으로 통신망에 접속해 가입자 명의의 문자 인증번호를 들여다보고 금융사기(심 스와핑)에 악용될 가능성이 있다는 것이다. 다행히 정부 1차 조사결과 스마트폰 단말기 고유식별번호(IMEI)와 별도 서버로 관리 중인 가입자의 이름 주민번호 결제계좌번호 등 민감한 고객정보는 유출되지 않았다고 한다. IMEI가 없으면 복제 유심을 다른 단말기에서 사용하기 어려워 금융사기(심 스와핑) 위험은 줄어든다.
하지만 이번 SKT사태는 단순한 일부 개인정보 유출을 넘어 ‘통신망 인증 시스템’ 자체가 탈취돼 ‘디지털 신분증’이 모두 해커에게 넘어간 사건이다. 아직 조사가 진행중이지만 K-값 유출만으로도 상당히 위험하다는 주장도 있다. 2500만명에 달하는 전국민 절반의 유심 정보가 유출됐다는 소식에 가입자 불안이 커지고 통신사 변경이나 유심 교체 요구 등 국민적 불편과 혼란이 지속되고 있다.
더 큰 문제는 국내 1위 통신사업자 SKT의 미숙한 초기 대응과 안이한 보안의식이다. 4월 18일 HSS의 이상 징후 탐지 이후 22일 개인정보위 보고와 언론 공개까지 나흘이 걸렸다. 더구나 2500만명이 넘는 SKT 가입자는 T월드 앱의 팝업으로 공지를 받은 것이 전부였다. 적극적인 마케팅 활동 때와 달리 정작 사고로 고객이 위험에 처한 사실을 제대로 알리지 않았다. 뒤늦게 돌아선 고객민심과 정치권을 달래기 위해 최태원 회장이 직접 대국민 설득에 나섰지만 분위기 반전에는 역부족인 것 같다.
5월 14일 데일리 브리핑에서 SKT측은 유심보호서비스 적용 가능 고객 100%가 가입을 완료했고 누적 유심교체자는 169만명이라고 밝혔다. 당초 5월과 6월 각각 500만개씩 유심을 확보하고 신규가입을 중단하는 등 유심 교체에 모든 역량을 집중하고 있지만 이미 파생된 사태수습과 서비스 운영 정상화는 상당한 시간이 소요될 전망이다.
4월 25일 유영상 SKT 대표가 대국민 사과와 함께 전 고객의 유심 무료 교체를 발표했지만 당시 준비된 유심은 필요한 2500만개에 턱없이 부족했다. 전국 T월드 매장 앞은 유심 교체 고객으로 장사진을 이루는 ‘유심 대란’이 벌어지고 온라인 예약 폭주로 접속이 불가능해 고객 불만이 증폭됐다. 1위 통신 사업자 SKT(점유율 45.3%, MVNO제외)의 브랜드 가치가 치명상을 입은 것은 확실하다.
초기대응에 실망한 가입자 26만명 이상이 이미 SKT를 이탈했고 신규가입 중단이 지속되면서 그 추세가 확대될 것으로 보인다. 무형의 브랜드가치 훼손뿐 아니라 기존고객 이탈, 신규가입 중단, 유심 교체비용, 보안시스템 강화와 법적 배상비용 해지 위약금 면제 등 예상되는 재무적 손실이 적어도 SKT의 연간 순이익을 족히 넘어설 것으로 보인다.
2024년 SKT 연결 순이익은 1조 3870억원으로 전년대비 21% 증가했다. 하지만 단 한 번의 보안사고로 연간 순이익을 훨씬 뛰어넘는 재무적 손실에 그치지 않고 고객기반 붕괴로 이어질 수 있다는 것을 보여준다. 특히 유출정보 내용에 따라 실제 과징금 규모는 달라지겠지만 2023년 개정된 개인정보보호법(제64조2의1항)을 기준으로 SKT 과징금(연간 매출액 3%)은 이론적으로 최대 5300억원에 달한다. 더구나 계약 이탈자로 수조원에 달할 것으로 예상되는 해약 위약금 면제 요구까지 거론되고 있어서 추가적인 재무적 손실은 가늠조차 어려운 지경이다.
2024년 10월 SKT는 밸류업 추진계획을 발표하며 ROE 10% 이상 달성으로 자본 효율성을 높이고 연결 순이익 50% 이상의 주주환원을 약속했다. 하지만 밸류업 계획 어디에도 고객보호와 통신업의 핵심인 정보보안 인프라 확충 계획은 없다. 더구나 정보보안 투자비용을 대폭 확대하는 경쟁사와는 반대로 SKT는 오히려 축소했다는 지적도 있다. 기업 밸류업의 핵심은 경영의 지속 가능성을 높이는 것이 목표다.
이번 SKT 사태는 시대적 변화의 대세로 자리잡은 비대면 사회의 가장 취약한 고리가 어딘 지를 여실히 보여준다. 통신망이 무너지면 금융 병원 쇼핑 여행 공공행정 등 일상의 수많은 비대면 서비스가 위험에 처한다. 특히 민감한 금융거래와 밀접한 관련이 있는 핵심 인프라가 불법 해킹됐다는 사실에 충격이 큰 것이다. 유심 하나에 수많은 개인정보와 인증체계가 걸려 있다는 것은 ‘단일 실패점(Single Point of Failure, SPOF)’의 위험성을 재확인해준다.
기업에게 이제 보안은 더 이상 비용이 아닌 생존의 조건이다. 특히 통신 금융 등 핵심 인프라 사업자는 최고 수준의 보안시스템을 구축하고 선제적으로 투자해야 한다. SKT의 정보보호 투자가 경쟁사 대비 낮았다는 지적과 메인 시스템인 홈가입자서버(HSS)가 ‘주요 정보통신 기반시설 지정’에서 제외된 사실은 보안에 대한 기업과 정부의 안일한 인식을 보여준다.
디지털 신뢰는 한번 무너지면 회복하기 어렵고 떠나간 고객을 되돌려 세우는 데는 더 많은 노력과 비용이 든다. SKT가 잃어버린 고객의 신뢰를 되찾으려면 보안 시스템을 강화하고 투자를 확대해 가시적인 믿음을 줘야 한다. 아울러 투명하고 신속한 고객 소통채널을 구축하고 피해보상과 재발방지 약속을 이행하는 실질적인 변화 모습이 확인돼야 떠나간 고객이 되돌아올 것이다. 정부 역시 홈가입자서버(HSS) 등 핵심 통신시설은 주요 정보통신 기반시설로 지정해 관리와 감독을 강화해야 한다. 아울러 소비자도 기본적인 보안수칙을 지키고 기업과 정부에 책임을 묻는 ‘디지털사회의 건강시민’ 역할을 다해야 정보화 시대의 안전한 삶을 보장받을 수 있다.
허정수 전문위원
Copyright © 블로터