[윤상호 기자]
정치권이 지난 4월18일 발생한 SK텔레콤 가입자식별모듈(USIM, 유심) 정보 해킹 사고에 대한 배상으로 '번호이동 위약금 면제' 주장을 지속했다.
정부와 SK텔레콤은 배상은 이번 사고에 대한 민관합동조사단의 결론이 나오면 논의하는 것이 적절하다고 설명했다. 조사단은 1차 조사 발표 때 나온 악성코드 감염 서버 외에 추가 감염 서버를 파악했다. 추가 정보 유출 확률이 높아졌다. 보안 전문가는 국내 정보보호 체계 및 법률 정비가 필요하다고 조언했다.
![]() |
유영상 SK텔레콤 대표/사진=윤상호 기자 |
정치권이 지난 4월18일 발생한 SK텔레콤 가입자식별모듈(USIM, 유심) 정보 해킹 사고에 대한 배상으로 '번호이동 위약금 면제' 주장을 지속했다.
정부와 SK텔레콤은 배상은 이번 사고에 대한 민관합동조사단의 결론이 나오면 논의하는 것이 적절하다고 설명했다. 조사단은 1차 조사 발표 때 나온 악성코드 감염 서버 외에 추가 감염 서버를 파악했다. 추가 정보 유출 확률이 높아졌다. 보안 전문가는 국내 정보보호 체계 및 법률 정비가 필요하다고 조언했다.
8일 국회 과학기술정보방송통신위원회는 '유심 해킹 사건 청문회'를 개최했다.
이날 과방위 소속 의원 대부분 SK텔레콤이 이번 일로 통신사를 옮기는 사람에게 위약금을 면제해야 한다고 목소리를 높였다. 또 최태원 SK 회장이 청문회에 불출석한 점을 질타했다.
여야 의원들은 "SK텔레콤이 회사 손실을 줄이려는데 신경을 쓰느라 고객 신뢰를 회복할 수 있는 기회를 놓치고 있다"라며 "최태원 회장이 과방위에 출석해 책임 있는 답변을 해야한다"라고 입을 모았다.
최태원 SK 회장, 청문회 불출석…7일 '대국민 사과문' 발표
최 회장은 이날 오는 15일 아시아태평양경제협력체(APEC) 통상장관회의를 대비한 암참(AMCHAM)과 한미 통상 관련 행사 참석으로 청문회에 오지 못했다. 대신 지난 7일 '대국민 사과문'을 발표했다.
최 회장은 "SK텔레콤 사이버 침해 사고로 고객과 국민께 많은 불안과 불편을 초래했다. SK그룹을 대표해 진심으로 사과드린다"라며 ""사고 이후 일련의 소통과 대응이 미흡했던 점에 대해서도 매우 안타깝게 생각하고 있다. 고객의 입장에서 세심하게 살피지 못했고 이는 저를 비롯한 경영진 모두가 뼈아프게 반성할 부분"이라고 머리를 숙였다.
국회의 위약금 면제 요구에 대해 정부와 SK텔레콤은 물론 업계는 일단 조사 결과를 지켜봐야 한다고 강조했다. 해킹 원인과 피해 규모 등이 나와야 SK텔레콤이 책임질 부분이 명확해지기 때문이다.
유상임 과학기술정보통신부 장관은 "고객 배상은 법적 검토 조사 결과 판례 등을 검토해 결정할 내용"이라며 "지금까지 위약금 면제를 했던 사례는 삼성전자 '갤럭시 노트7' 발화 사고뿐이며 통신사 책임이 아니었다"라고 말했다.
유영상 SK텔레콤 대표는 "위약금 면제 등 이번 사고 발생 후 이사회 논의를 2번 했다"라며 "법적 문제뿐 아니라 회사 손실을 비롯 여러 가지 이동통신 생태계와 이용자 차별 문제 등을 고려해야 할 내용이 많아 지금 단계에서 결정하기 어렵다"라고 전했다.
정부, "조사단 결과 발표 후 배상 등 논의"…SKT, "위약금 면제, 최대 월 500만명 이탈 추정"
SK텔레콤은 위약금 면제를 시행하면 회사 존립이 위태하다고 우려했다. 현재 지난 사고 이후 25만명의 가입자가 이탈했다. SK텔레콤은 위약금을 받지 않을 경우 월 최대 500만명이 빠져나갈 수 있다고 예상했다.
유 대표는 "월 최소 250만명 최대 500만명까지 이탈할 수 있다"라며 "이들로부터 받을 위약금 인당 10만원과 이들에게 발생할 3년 매출 등을 감안하면 7조원 이상 손실이 날 수 있다"라고 추정했다.
이번 사고 조사 결과는 최대 2개월 이후 나올 전망이다. 민관합동조사단은 지난 4월29일 1차 조사 결과를 발표했다.
현재까지 SK텔레콤에서 빠져나간 정보는 가입자 전화번호 가입자식별번호(IMSI) 유심 인증키 등 유심 복제에 쓸 수 있는 정보 4종과 SK텔레콤의 유심 관리용 정보 21종 총 25종이다. 침투에 사용한 악성코드는 BPF도어 계열 4종이다. 서버 3대에서 악성코드를 파악했다. 지난 3일 추가 8종을 발견했다. SK텔레콤은 KT LG유플러스와 달리 유심 인증키를 암호화해 보관하지 않았은 점도 드러났다. 추가 정보 유출 가능성도 있다.
유 장관은 "국내 통신사를 비롯 전 세계 통신사가 ISMI는 암호화하지 않은 상태로 관리한다"라며 "SK텔레콤만 유심 인증키를 암호화하지 않은 것은 소홀했다고 생각한다"라고 지적했다.
SKT, 유심 인증키 암호화 소홀…KT·LGU+ '암호화'
류정환 SK텔레콤 네트워크인프라센터장은 "다른 방식으로 보호를 하고 있었지만 암호화에는 미진했다"라며 "방어 장치를 마련 중"이라고 해명했다.
강도현 과기정통부 제2차관은 "침해 우려 리눅스 서버 3만3000대를 3차례 조사했으며 4차 조사에 착수했다"라며 "기지국 등까지 포함하면 전체 점검 대상 서버는 40만대 이상"이라고 분석했다.
이와 함께 "처음 악성코드를 찾은 서버 3대 외에 추가 감염 서버가 있다"라며 "확실히 하기 위해 반복 조사를 하고 있다"라고 추가했다.
최민희 국회 과방위원장은 추가 의혹을 제기했다. 최 위원장은 "3월12일부터 20일까지 서버에서 비정상 트래픽이 발생했다는 제보가 있다"라며 "이것이 맞다면 조치 소홀로 귀책사유에 해당한다"라고 질의했다.
류 센터장은 "보고는 받지 못했다"라며 "확인해보겠다"라고 답했다.
보안 전문가 자격으로 참고인 출석한 김승주 고려대학교 정보보호대학원 교수는 국내 보안 관련 의식 제고와 법률 재정비를 주문했다. 망 분리 정책 시정을 서둘러야 한다고도 제안했다.
보안 전문가, 범정부 차원 대응책 필요…정부, 망 분리 개선 로드맵 진행
김 교수는 "정부의 정보보호관리체계인증(ISMS)은 모든 기업 대상 최소한의 보안 기준"이라며 "ISMS 강화보다는 통신사 대상 별도 강화 규정을 시행이 바람직하다. 해외는 통신을 이미 국가 인프라로 여기고 보안을 강화하는 추세"라고 역설했다.
또 "우리나라는 인터넷망과 내부망이라는 해외와 다른 망 분리 정책 때문에 보안 설루션 향상이 이뤄지지 않고 있는 것도 있다. 지금은 사실상 외부망과 내부망의 완전한 단절이 불가능하다는 점을 고려해 제도 개선이 요구된다"라며 "과기정통부와 국가정보원 등 이런 상황을 관리하는 주무부처 정립 등 법적 정비도 필요하다"라고 덧붙였다.
강 차관은 "망 분리 정책 개선 로드맵을 수립해 금융부터 우선 적용하고 있다"라며 "공공도 시범 사업에 착수했다"라고 얘기했다.
국회도 범정부적 대응을 요구했다. 부처간 칸막이를 비판하는 내용도 나왔다. 인공지능(AI)까지 감안해야 한다는 소리다. 임기응변이 아닌 종합적 대책을 도출해야 한다고 했다.
유 장관은 "국정원과 협의를 하고 있고 거버넌스 문제가 있어 법제처 유권 해석을 의뢰한 상태"라며 "대통령 선거 등도 앞두고 있어 해킹 예방에 대한 대책을 범정부적으로 추진 중"이라고 답변했다.
국회는 이번 사고를 악용한 스미싱 증가 등에 대한 대비책 마련도 당부했다. 대선 후보와 관련한 가짜뉴스 차단 등도 촉구했다.
유심 해킹, 금융 피해 우려 과도…유심보호서비스, 피해 방지 가능
한편 이번 해킹이 불러올 파장에 대한 불안이 과도하다는 분석도 나왔다.
김 교수는 "현재 해킹된 정보는 유심 관련 통신사 데이터이기 때문에 금융 피해로 연결될 가능성이 낮다"라며 "유심보호서비스로 금융 피해를 막을 수 있다"라고 평가했다.
SK텔레콤은 지난 7일 기준 유심보호서비스 적용 가능 고객 100%(알뜰폰 포함)를 가입 완료했다. 해외 거주 및 로밍 가입자만 빠졌다. 이들은 시스템 개선이 이뤄지는 12~14일 동안 가입 처리 예정이다. 유심 교체는 115만명을 실시했다.
윤상호 기자 crow@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.