[윤상호 기자]
SK텔레콤 가입자식별모듈(USIM, 유심) 정보 해킹 사고 발생 20여일이 지났다. 정치권은 사고 수습책 중 하나로 SK텔레콤이 가입자가 통신사를 옮길 때 위약금을 면제해야 한다는 주장을 지속하고 있다. SK텔레콤은 고심 중이다. 도의적 책임이 있는 만큼 명확한 의사 표명에는 한계가 있다. 일단 유영상 SK텔레콤 대표에 이어 최태원 SK회장도 '사고 수습에 최선을 다하겠다'며 머리를 숙였다.
업계에서는 SK텔레콤 위약금 면제 강요를 여론몰이 식으로 진행하고 있는 점에 대한 우려의 목소리가 크다. 아직 사고 원인과 피해 규모는 나오지 않은 상태기 때문이다. 선거를 앞두고 반복하는 통신사 때리기라는 자조 섞인 의견도 물밑에서 확산하고 있다.
 |
7일 최태원 SK 회장이 지난 4월18일 발생한 SK텔레콤 유심 정보 해킹 사고에 대해 머리를 숙였다/사진=SK 제공 |
SK텔레콤 가입자식별모듈(USIM, 유심) 정보 해킹 사고 발생 20여일이 지났다. 정치권은 사고 수습책 중 하나로 SK텔레콤이 가입자가 통신사를 옮길 때 위약금을 면제해야 한다는 주장을 지속하고 있다. SK텔레콤은 고심 중이다. 도의적 책임이 있는 만큼 명확한 의사 표명에는 한계가 있다. 일단 유영상 SK텔레콤 대표에 이어 최태원 SK회장도 '사고 수습에 최선을 다하겠다'며 머리를 숙였다.
업계에서는 SK텔레콤 위약금 면제 강요를 여론몰이 식으로 진행하고 있는 점에 대한 우려의 목소리가 크다. 아직 사고 원인과 피해 규모는 나오지 않은 상태기 때문이다. 선거를 앞두고 반복하는 통신사 때리기라는 자조 섞인 의견도 물밑에서 확산하고 있다.
7일 SK텔레콤은 서울 중구 SK-T타워에서 '유심 해킹 사고 관련 일일 브리핑'을 진행했다. 일일 브리핑은 지난 2일 시작했다. 이날로 6번째다. 이날은 최태원 SK 회장이 참석해 '대국민 사과문'을 발표했다.
최 회장은 "SK텔레콤 사이버 침해 사고로 인해 고객과 국민께 많은 불안과 불편을 초래한 것을 SK그룹을 대표해 진심으로 사과드린다"라며 "정부 조사에 적극 협력해 사고 원인을 규명하는 데 주력하고 고객 피해가 발생하지 않도록 만전을 기하겠다"라고 약속했다.
SKT, 초기 대응 미흡 배상 여론 확산 자초…5일부터 신규 가입 중단 유심 교체 주력
SK텔레콤은 지난 4월18일과 19일 유심 정보 해킹을 파악했다. 4월20일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 4월22일 개인정보보호위원회에 정보 유출을 보고했다. 정보 유출 72시간 이내 신고는 지켰지만 24시간 이내 해킹 신고는 지키지 못했다. 전체 고객 개별 고지는 4월22일 시작해 4월29일에 마무리했다.
SK텔레콤은 4월22일 2차 피해 방지를 위해 '유심보호서비스' 가입을 독려했다. 4월25일에는 '유심 무료 교체'도 제시했다. 문제는 준비가 되지 않은 상황에서 대책을 내놓은 점. 5월 연휴가 겹치면서 고객 불편과 혼란이 가중됐다.
6일 오후 6시 기준 유심보호서비스 가입자는 2411만명 유심 교체자는 107만명이다. 유심보호서비스는 로밍 이용자를 제외하고 사실상 전체 사용자 가입을 완료했다. 유심 교체는 아직 시간이 필요하다. 전산 처리 용량과 재고가 충분치 않아서다. 이날부터 예약 순번대로 순차 교체를 본격화할 방침이다. SK텔레콤은 유심 교체에 전념하기 위해 지난 5일부터 신규 가입을 중단했다.
이 상황에서 국회 과학기술정보방송통신위원회를 필두로 여야 정치권은 '번호이동 위약금 면제'를 요구하고 나섰다. 지난 4월30일에 이어 오는 8일 관련 청문회를 개최한다. 국회 입법조사처는 지난 2일 최민희 과방위원장 질의에 대해 '약관 또는 자발적 조치에 따라 면제가 가능하다'라는 답변을 냈다.
SKT, 2차 피해 발생 100% 보상 약속…업계, "원인 및 유출 범위 규명 후 배상 논의 적절"
업계에서는 '지금은 냉정한 상황 판단이 중요한 때'라고 보고 있다. 과학기술정보통신부 민관합동조사단의 조사 결과를 지켜봐야 한다는 입장이다. 결과에 따라 SK텔레콤에게 배상 의무를 지워야 한다는 뜻이다. SK텔레콤은 수차례 '이번 해킹에 따른 2차 피해가 발생할 경우 100% 책임지겠다'라고 언급했다.
통신사 관계자는 "SK텔레콤이 해킹을 초래했고 초기 대응에서 문제가 있었던 것은 사실이지만 이로 인해 과도한 책임을 져야한다는 것도 온당치 않다"라며 "결과를 보고 배상 범위를 정하는 것이 합리적"이라고 지적했다.
또 다른 통신사 관계자는 "결과가 나온 후 SK텔레콤의 배상이 충분치 않다면 그때 가서 위약금 면제 등을 논의해도 늦지 않는다"라며 "정치권이 선거를 의식해 SK텔레콤을 너무 몰아붙이는 경향이 없지 않아 보인다"라고 비판했다.
법조계 관계자는 "국회가 근거로 삼는 '회사의 귀책 사유에 따른 위약금 면제'도 이번 사고 원인이 파악이 돼야 따져볼 수 있는 영역"이라며 "귀책 사유를 구실로 삼기에는 아직 확인한 정보가 너무 적다"라고 평가했다.
위약금 면제가 가져올 시장 영향도 고려해야 한다는 걱정도 있다. 이용자 형평성과 통신 산업 수익 구조 훼손이 대표적이다.
통신 업계, "성급한 위약금 면제, 통신 산업 토대 흔들수도"…보안 업계, "국내 보안 취약성 보완 기회 삼아야"
위약금 면제는 보조금을 많이 받거나 통신사를 자주 이동하는 가입자에게 유리한 대책이다. 보조금을 적게 받거나 받지 않은 사람은 손해다. 장기 가입자에게도 불리하다.
또 통신사는 약정을 통해 요금 할인 등을 제공하는 대신 고객 이탈 없이 일정 기간 안정적 매출을 올리는 구조다. 위약금을 없애면 비용을 회수할 방법이 없다. 벌써 위약금 면제가 현실화할 경우 SK텔레콤이 수조원에 이르는 손실을 볼 수 있다는 관측도 있다. 선례가 남을 경우 다른 통신사도 사정권이다. 통신 산업 전체가 흔들릴 수 있다.
통신 업계 관계자는 "이번 일로 이미 SK텔레콤은 추후 과징금 등을 포함 수천억원대의 손실이 불가피한 것으로 여겨진다"라며 "원인 제공자로서 책임을 지는 것은 당연하지만 위약금 면제까지 다그치는 것은 SK텔레콤 주주의 반발은 물론 통신 산업 전반에도 바람직한 일은 아니다"라고 분석했다.
보안 업계 관계자는 "지금은 원인 파악을 빨리해 국내 기업과 정부의 보안 취약성을 수정하는 것이 시급한 때인데 배상 위주로 사안이 흘러가는 것은 사고의 본질을 흐릴 수 있다"라며 "SK텔레콤에서 벌어진 일이지만 SK텔레콤에만 너무 매몰되면 안 된다"라고 조언했다.
최 회장도 이날 위약금 면제에 대해 "이용자의 형평성 문제와 법적 문제 등을 같이 검토해야 한다"라며 "SK텔레콤 이사회가 논의 중"이라고 어려움을 토로했다.
최 회장은 SK텔레콤 이사회 구성원이 아니다. SK텔레콤 경영에 직접 관여할 수 없다. 대신 SK그룹 차원의 정보보호 전략 재검토를 강조했다.
그는 "이번 일로 정보보호는 일개 기업의 정보기술(IT) 차원의 보안 문제가 아니라 국방과 안보라며 생명이라는 생각을 갖게 됐다"라며 "SK수펙스추구협의회에 정보보호혁신위원회를 구성해 전 그룹사 대상 보안 체계를 검토하고 투자를 확대하겠다"라고 설명했다.
조사단, "1차 조사 결과 유심 복제 불가…유심보호조치 피해 예방 가능"
한편 민관합동조사단은 지난 4월29일 1차 조사 결과를 공개했다. SK텔레콤 3종 5대 서버를 들여다봤다.
이 시점까지 SK텔레콤에서 빠져나갔다고 알아낸 정보는 가입자 전화번호 가입자식별키(IMSI) 등 유심 복제에 쓸 수 있는 정보 4종과 SK텔레콤의 유심 관리용 정보 21종 총 25종이다. 침투에 사용한 악성코드는 'BPF도어' 계열 4종이다. BPF도어는 리눅스 운영체제(OS)에 내장한 네트워크 모니터링/필터기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어다.
조사단은 "이번 침해 사고를 통해 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인했다"라며 "현재 SK텔레콤이 시행 중인 유심보호서비스에 가입하면 이번에 유출된 정보로 유심을 복제해 다른 휴대폰에 꽂아 불법적 행위를 하는 행위(심스와핑)가 방지된다"라고 파악했다.
아울러 지난 3일 악성코드 8종을 추가 발견했다. 이에 대한 위협 정보는 KISA를 통해 다른 기업 등에 공유한 상태다.
윤상호 기자 crow@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.