SK텔레콤(이하 SKT)이 해킹 사실을 하루 늦게 신고해 개인정보보호법 위반 논란이 제기됐다. 전문가들은 이번 사건을 신종 해킹으로 규정하고 통신·금융 전반의 보안 체계 강화가 시급하다고 강조했다. 금융권은 본인 인증을 중단하는 등 피해 확산 방지에 나섰다.

◆  SKT, 하루 늦은 해킹 신고..개보법 위반?

29일 통신업계에 따르면, 유상임 과학기술정보통신부 장관은 이날 국회 예산결산특별위원회 종합정책질의에서 “(SKT가 해킹 사실을) 하루 정도 더 늦게 신고한 점은 거기에 합당한 처벌을 받을 것”이라고 말했다.

SKT는 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지한 것으로 알려졌다. 같은 날 오후 11시 20분 악성코드를 발견하고 해킹 공격을 받았다는 사실을 내부적으로 확인했음에도 만 하루가 지난 시점에 한국인터넷진흥원(KISA)에 침해 사실을 신고해 고의 지연 보고 의혹이 제기됐다.

개인정보보호법 제34조에 따르면, 개인정보처리자는 개인정보가 분실, 도난, 유출됐음을 알게 되었을 때에는 ‘지체 없이’ 해당 정보주체에게 알려야 한다. 여기서 ‘지체 없이’라는 표현은 통상적으로 24시간을 의미한다.

국회 과학기술정보방송통신위원회 위원장인 더불어민주당 최민희 의원이 SK텔레콤에서 제출받은 자료에 따르면, 이번에 유출된 데이터 규모는 유심(USIM) 등 핵심 고객정보를 포함해 약 270만 페이지 분량(9.7GB)으로 추정된다.

◆  학계 “유심 제작 단계부터 보완해야”

특히 SKT의 유심 정보 유출 사태로 금융권은 물론 사회 전반에 불안감이 확산하는 가운데, 학계에선 “통신업권 전반이 개인정보 보호 장치를 제대로 수립해야 할 시기”라는 제언이 등정했다.

신재우 한신대 IT경영학과 교수는 스트레이트뉴스와의 전화 통화에서 “이번 사태는 개개인의 유심 정보가 담긴 SKT 서버가 해킹당한 것으로 추정된다“며 “이 정보를 활용해 대포통장을 만들거나 복제폰을 이용해 금융서비스에 신규 가입할 우려가 있다”고 경고했다. 그는 특히 “단시간 내 유심 교체가 필요하고, 유심보호 서비스도 가입하길 권고한다”고 강조했다.

신재우 교수는 “현재 무엇보다 심각한 점은 해커 정체도, 해킹 프로그램도 밝혀지지 않았으며, 피해 규모 추산도 명확히 파악되지 않았다는 점”이라며 “해커들이 국내 대형 통신사를 공격했다는 것은 나머지 통신사들도 표적이 될 수 있다는 신호”라고 지적했다. 

이어 “상황 파악이 제대로 안되는데 어떻게 대응할 수 있겠느냐”며 “예전 디도스 공격 때처럼 피해 규모조차 추산이 불가능한 게 가장 큰 문제”라고 했다.

신 교수는 “이번 사태는 고객정보 탈취 목적의 신종 해킹”이라며 “양자 암호 체계를 갖출 필요성이 있다”고 강조했다. 그는 ”양자컴퓨터 기반으로 새로 보안 체계를 갖추면 전문해커들도 방화벽을 뚫기가 매우 어렵다”며 “수비수 무기가 공격수 무기만큼 강해야 하는데, 중소 유심제조업체 서버나 보안프로그램은 안심하기 어려운 상황”이라고 밝혔다.

그는 “유심 제작 단계부터 서버단 보안 프로그램을 강화하고, 통신사, 제작사, 금융권이 전방위적으로 대응해야 한다”며 “2500만명이라는 대규모 피해 가능성에 정치권도 관심을 가지고 적극적으로 대책을 마련해야 한다”고 강조했다.

신 교수는 “2500만명이 모두 뚫린 것인지, 주소 등 기타 정보가 어디까지 유출된 것인지조차 아직 명확히 밝혀지지 않은 것을 보면 상황의 여파를 가늠하기 어렵다”며  “특히 유심 복제로 새로 금융서비스에 가입하면 피해자 본인은 모르는 사이에 스미싱 피해에 노출될 위험도 있다”고 덧붙였다. 

◆  “금융서비스 2단계 본인인증, 얼마든지 조작될 여지 있어”

해킹 사고 이후 금융권에선 SKT 인증 중단에 나섰다. NH농협생명은 28일 오후 6시부터 SKT 고객의 휴대전화 본인인증 서비스를 중단했다. 회사는 공지를 통해 “카카오 인증서 등 다른 본인 인증 수단을 이용해 주시길 바란다”고 밝혔다.

신한라이프도 유심 정보 유출과 관련한 조치가 완료될 때까지 SKT 통한 휴대전화 인증 로그인을 제한한다고 안내했다. KB캐피탈도 휴대전화 인증을 통한 로그인을 중단했다.

금융서비스 본인인증은 1단계 본인인증과 2단계 모바일 단말기 중심 인증으로 구분된다. 1단계는 휴대폰 본인 인증 등으로 구성됐으며, 2단계는 OTP 코드, 생체정보 등을 입력해야 한다. 

보안업계에선 ‘설마했던 우려가 실현된 것’이라는 목소리가 있다.

보안업계 관계자는 “통신사가 유심정보를 암호화 해서 저장하지 않았다는 점은 개선이 필요한 부분”이라며 “스스로 안심서비스 가입을 하지 못하는 노령층 등 디지털 취약계층에 대한 배려와 조치가 아쉬운 부분”이라고 말했다.

그는 “사실 통신사 인증을 통한 유심 인증은 이전부터 보안업계에서 문제 가능성을 제기했던 게 사실”이라며 “그래도 보안업계 주류에선 이번 사태 같은 일이 일어날 것이라는 걸 억측으로 여겼다”고 말했다.

이어 “유심정보 유출 사태를 대비해 모바일 단말기 중심으로 진행되는 2단계 인증을 넣긴했는데, 해당 단계 역시 해커에 의해 악의적으로 조작될수 있다”며 “사용자가 등록한 모바일 디바이스와 유심에서만 금융인증을 허용하도록 하는 방안을 적용할 필요가 있다”고 덧붙였다.

한편 SKT가 이날 오전 9시를 기준으로 집계한 유심 교체 완료한 고객은 28만명, 온라인을 통해 유심 교체를 예약한 고객은 432만명이다.

일각에선 SKT가 구체적인 피해 규모를 명확히 밝히지 않는 것에 대해 “향후 고객들이 집단소송을 할 때 객관적인 증거자료로 활용할 여지가 있기 때문 아니냐”고 의혹을 제기한다.

이에 대해 SKT 관계자는 “유심 정보 뿐 아니라 전체 시스템에 대해 철저한 보안 체계를 구성해 24시간 모니터링 하고 있다”며 “구체적으로 어떠한 공격을 받은 것인지 등에 대해서도 현재 조사 중인 사항으로 추후 조사 종료 후 공식 발표 예정”이라고 말했다.

그는 “이번 사태와 관련해 예상 피해 규모 등을 조사 중”이라며 “금융권 2차 피해를 막기 위해 유심 보호서비스와 교체 등 다양한 수단을 동원하고 있다”고 덧붙였다.

[스트레이트뉴스 조성진 기자]