뉴진스 아이폰16 광고 장면 캡처


SK텔레콤 유심(USIM) 해킹에 따른 공포가 일파만파로 확산하는 가운데 전문가 사이에서는 보안 규제를 정비하고 정보보호 분야 투자를 늘려야 한다는 지적이 나온다. 류정환 SK텔레콤 부사장은 지난달 30일 국회 과학기술정보방송통신위원회(과방위)에 출석해 “네트워크 쪽은 암호화가 되어있지 않은 부분이 많다”며 악성코드 침투 당시 유심 데이터가 암호화되어 있지 않았다고 시인했다. 류 부사장은 “법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다”며 유심 정보 암호화 관련 내용이 법령에 명시되어 있지 않았다는 내용도 언급했다. 현행법상 USIM 칩에 담긴 가입자 식별번호(IMSI), 가입자 인증키 등은 할부계산기 의무 암호화 대상이 아니다.



SK텔레콤이 가입자 유심(USIM) 정보 유출 사태로 오는 5일부터 신규 가입자 모집을 중단한다고 밝힌 2일 서울 시내의 한 SK텔레콤 대리점에 유심 재고 소진 안내문이 붙어 있다. 연합뉴스


은행이율 개인정보보호위원회 고시 ‘개인정보의 안전성 확보조치 기준’에 따르면 개인정보처리자가 암호화해 보관해야 할 정보로는 ▲ 주민등록번호 ▲ 여권번호 ▲ 운전면허번호 ▲ 외국인등록번호 ▲ 신용카드번호 ▲ 계좌번호 ▲ 생체인식정보 등 7가지만 명시돼있다. 문제는 정보기술(IT) 발달로 이동통신사, 플랫폼 기업들이 서비스 제공 과정에서 수집하는 정보의 폭이 주부취업 넓어지고 있고, 이에 따라 해커들의 ‘먹잇감’ 또한 늘어나고 있다는 점이다. 지난해 초 유출된 중국 보안업체 아이순(iSoon)의 내부 문건에 따르면 이 기업은 해킹을 통해 방대한 각국 통신 기업과 정부 기관의 내부 데이터를 수집해왔다. 아이순이 훔친 데이터 목록 중에는 3테라바이트(TB) 가량의 LG유플러스 고객 통화 기록이 포함된 것으로 나타나 파문이 충남대학교 대학원 일었다. 과기정통부와 국정원, 한국인터넷진흥원(KISA) 등은 당시 실제 해킹이 있었는지, 구체적으로 어떤 정보가 유출됐는지 등 해킹 경위에 대한 조사에 들어갔다. 다만 통신사 서버에 저장된 USIM 정보의 경우 다른 개인정보와 달리 수시로 참조가 이뤄지는 정보인 만큼 현실적으로 암호화 적용이 어렵다는 반론도 나온다. 류 부사장은 지난 2일 해킹 사태 대응 전세집 담보대출 관련 브리핑에서 “USIM 정보가 담긴 홈가입자서버(HSS)는 암호화를 하지 않는 것이 기본”이라며 “매번 통화할 때마다 암호화된 정보의 암호를 풀었다가 다시 암호화하려면 레이턴시(지연시간)가 발생하기 때문”이라고 설명했다. 그러면서 “암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다”고 덧붙였다. 최민희 더불어민주당 의원이 과기정통부로부터 제출받은 자료에 따르면 해킹 공격을 받은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템 등은 국가·사회적으로 보호가 필요한 주요 정보통신 기반 시설로 지정되지 않았다. 통신사들이 이번 사태를 계기로 정보보호에 투자하는 금액을 늘려야 한다는 지적도 나오고 있다. SK텔레콤이 지난해 정보보호 분야에 투자한 금액은 본사 600억원, 자회사 SK브로드밴드 267억원 등 총 867억원으로 나타나 경쟁사인 KT(1218억원)에 비해 적었다. 지난해 아이폰16 홍보 모델로 그룹 뉴진스를 발탁해 업계에서 화제가 됐던 SK텔레콤은 같은해 별도 기준 광고선전비로 1367억원을 집행했다. 박세영 기자