"기술이 뚫려도 제도가 막았어야"...유심 해킹 민낯
해킹을 완벽히 막을 수 없다면, 피해 확산을 막는 제도와 기술이 기본값이 돼야 한다. SK텔레콤 유심 해킹 사고는 통신 인프라의 구조적 취약성과 함께, 사후 대응과 이용자 보호 시스템의 한계를 드러냈다. 초기 대응부터 인증 정보 암호화와 정보보호 최고책임자(CISO) 제도도 실효성에 의문이 제기됐다. 즉 기술뿐 아니라 대응과 제도까지 포함한 시스템 전체의 문제를 보여주며 근본적인 재정비가 불가피하다는 지적이다. 유심보호서비스, 왜 처음부터 자동가입 못했나 유심보호서비스는 통신 3사 모두 무료로 제공하는 부가서비스다. 유심 무단 변경을 막는 기능을 갖추고 있지만 이용자 스스로 직접 가입해야 하는 형태다. 해킹에 따른 피해를 사전에 차단하기보다는 사후에 유심 변경을 제한하는 보조적 조치에 가깝다. 침해사고 직후 SK텔레콤은 유심보호서비스 가입을 적극 권장했으나 일시적으로 가입 신청이 몰리며 T월드 앱 서비스의 접속 폭주로 고객 불만이 빗발쳤다. 아울러 로밍 요금제와 동시 가입이 불가능한 탓에 해외 체류자나 여행객의 불안감을 더욱 키웠다. SK텔레콤은 T월드 앱에서 원터치 가입이 가능하도록 개선하고, 이용 약관 개정 신고를 통해 자동가입 절차를 뒤늦게 시행했다. 로밍요금제와 동시 이용이 가능한 업그레이드 버전도 선보였으나 사고 이후 유심보호서비스를 기본값으로 제공하지 않았다는 비판이 거세게 나왔다. 국회 청문 과정에서 "이용자가 알지 못하면 보호받지 못하는 구조"라는 비판과 함께 유심 교체 이후 보호서비스 자동 연동이 이뤄지지 않은 점도 지적을 받았다. 박진호 동국대 소프트웨어학부 교수는 "유심보호서비스는 유심을 사용하는 모든 이용자에게 기본값으로 자동 적용돼야 한다"며 "몇백 원 절감하겠다고 이용자에게 수동 설정을 요구할 게 아니라, 보호 기능을 끄는 선택지만 남기는 구조로 바꿔야 한다"고 강조했다. 정부 차원의 통합 보안 가이드라인 부재도 구조적 허점으로 지목됐다. 더불어민주당의 이정헌 의원은 청문에서 "금융 앱은 생체인증 같은 기본 보안장치를 기본값으로 제공하는데, 유심같이 중요한 영역은 왜 기본 방어체계조차 제공하지 않는지 따져볼 필요가 있다"고 지적했다. 가짜뉴스 방치…"정보 공백이 더 큰 피해 낳았다" 침해사고 직후 일부 온라인 커뮤니티와 SNS에서는 “해킹되면 계좌의 모든 돈이 빠져나간다”는 식의 확인되지 않은 주장과 과장된 정보가 빠르게 확산됐다. 불안에 휩싸인 일부 이용자들은 모바일 뱅킹 앱을 삭제하거나 위약금을 내고 다른 통신사로 번호이동 사례도 나타났다. 이 과정에서 정부나 침해사고 당사자인 SK텔레콤이 국민의 우려를 불식시키는 노력이 부족했다는 지적을 피하기 어렵다. 염흥열 순천향대 정보보호학과 교수는 “유심 정보 유출만으로 금융 피해로 직결되기는 어렵다”며 “복제폰 제작, 금융 앱 접근 정보 탈취 등 여러 단계의 추가 수단이 필요해 현실적으로 가능성은 낮다”고 설명했다. 그는 또 “IMEI 유출 가능성이 제기된 만큼, 초기 단계부터 정보의 위험성과 해명 내용을 명확히 전달했어야 했다”며 “유심 교체 방침을 발표할 당시 수급 상황을 고려하지 않은 점도 문제였다”고 지적했다. 국회 입법조사처는 최근 발표한 '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서에서 "사고 직후 정부와 통신사가 허위 정보 확산에 효과적으로 대응하지 못했고, 이용자에게 신뢰를 줄 수 있는 조기 안내 체계도 부재했다"며 "초기 단계부터 투명한 정보 공개와 허위 정보 대응 매뉴얼을 갖추는 것이 제도적 과제"라고 밝혔다. 박진호 교수는 "SK텔레콤과 같은 대기업이라면 매뉴얼 자체가 없었을 리는 없지만, 디테일이 부족했다"며 "예고된 공격에도 선제 대응이 미흡했고, 사후 조치에서도 홍보·안내 체계가 부족했다"고 지적했다. 이어 "이심(eSIM)은 실물 유심 탈취 위험이 없어 해킹 저항성이 더 높다"며 "통신사는 이심 전환과 관련한 가이드와 보호 옵션 안내를 더욱 명확히 해야 한다"고 덧붙였다. 유심 정보 암호화, 이제는 '의무'로 SK텔레콤의 침해사고 계기로 통신망에 저장되거나 전송되는 유심 관련 인증 정보의 암호화 저장 필요성이 본격적으로 제기됐다. 현재 인증 절차에 사용되는 유심 고유번호, 인증 토큰 등 일부 식별 정보는 통신사 시스템 내에서 평문으로 저장되거나 암호화되지 않은 채 전송되는 구조가 여전히 존재해 해킹 시 탈취 위험이 남아있다는 것이다. 기술적 조치 수준에서도 통신 3사 간 격차가 존재한다. KT는 2021년부터 IMSI 암호화 기능이 적용된 5G USIM을 도입했고, LG유플러스는 PUF(물리적 복제 불가능 함수) 기반의 고보안 유심을 상용화했다. 반면 SK텔레콤은 이번 사고 시점까지 암호화 조치를 적용하지 않았고, 사건 이후에야 관련 체계 강화에 착수했다. 국제 표준도 이와 관련한 최소한의 보안을 요구하고 있다. 5G SA 환경에서는 가입자 식별정보(SUPI)를 암호화된 형태(SUCI)로 전송해야 한다는 규정이 3GPP TS 33.501 표준에 명시돼 있다. 이는 LTE 시절 IMSI가 평문으로 전송되던 보안 취약점을 개선하기 위한 조치다. 국내에서 5G SA 상용화가 아직 이뤄지지 않았고 한국을 포함한 다수 국가에서는 해당 표준이 법제화로 이어지지 않았다. 이에 대해 전문가들은 “기술적으로는 사실상 의무인데, 제도적으로는 방치되고 있는 전형적인 보안 사각지대”라고 지적한다. 염흥열 교수는 “5G SA 환경에서는 전송 구간 암호화는 표준상 필수지만, 저장은 통신사 자율에 맡겨진 상황”이라며 “KT, LG유플러스는 암호화를 적용했지만 SK텔레콤은 하지 않아 업계 기준을 따르지 않은 셈”이라고 밝혔다. 이어 “민감 정보 저장 시 암호화를 의무화하는 법적 규제가 필요하다. 개인정보보호법이나 정보통신망법 개정을 통해 이를 보완해야 한다”고 강조했다. CISO 제도, '명문화'에서 '내실화'로 현행 정보통신망법에 따르면, 매출 1천500억원 이상이거나 일평균 이용자 수 100만 명 이상인 정보통신서비스 사업자는 정보보호최고책임자(CISO)를 지정해 신고해야 한다. 과거 대규모 정보 유출 사건을 계기로, 기업 내 보안 책임자 제도화를 통해 정보보호 역량을 강화하겠다는 취지로 도입됐다. 법적으로 CISO는 정보보호 정책 수립, 보안 예산 및 인력 운영, 사고 대응 총괄 등의 역할을 맡지만, 현실에서는 제도의 명문화와 실질 운영 사이 간극이 크다는 지적이 꾸준히 제기돼 왔다. 많은 기업이 CISO를 CTO, CIO 등과 겸직시키고 있으며, 독립적인 예산 편성과 정책 집행 권한도 제한적인 경우가 많다. 특히 CISO가 CEO에게 직접 보고하지 못하고, IT 부서 산하 실무 조직에 편입되는 경우가 많아, 보안 이슈가 경영 전략이나 예산 결정에서 후순위로 밀리는 구조적 문제가 반복되고 있다. 명목상 직책은 있지만 책임과 권한이 분산돼 실질적 대응력은 떨어질 수밖에 없다. 이번 SK텔레콤 유심 해킹 사고에서도 이러한 한계가 여실히 드러났다. SK텔레콤의 정보보호실은 AT·DT센터 산하 5개 실 중 하나로, 정보보호실장이 CISO를 겸직하고 있다. 정보보호실장은 사내 임원급 인사이지만 등기임원은 아니며, 사업보고서 상 주요 경영진 명단에도 포함돼 있지 않다. 이로 인해 보안 의사결정에서 전략적 독립성과 대응력 확보에 한계가 있었다는 지적이 나온다. 전문가들은 단순히 법령상 CISO를 지정하는 것만으로는 실질적인 보안 책임이 확보되기 어렵다며, 제도의 실효성 강화를 위한 보완이 시급하다고 입을 모은다. SK텔레콤 침해사고에서 CISO 제도가 '형식적으로 존재하는 것'과 '실제 작동하는 것'은 다르다는 점을 분명히 보여줬다는 것이다. 업계 한 관계자는 "많은 기업들이 여전히 CISO를 CTO나 CIO 등과 겸직시키고 있으며, CEO에게 직접 보고하는 체계도 부족해 보안 의사결정에서 배제되기 쉽다"면서 "독립적인 보안 예산과 인력 운영 권한을 부여하고, 사고 발생 시 책임 주체가 명확해지도록 제도적 보완이 필요하다"고 말했다. 다른 관계자는 "사이버 공격 자체를 100% 막을 수는 없다. 하지만 사고 이후 책임 구조가 명확하고, 투명하게 대응할 수 있는 시스템이 구축돼 있었는가가 기업 신뢰의 기준이 된다"며 "다음 사고를 피할 수 없다면, 피해를 줄이는 체계와 책임지는 구조라도 갖춰야 한다"고 강조했다. 염흥열 교수는 "침해사고는 결국 기업 내부에 취약점이 있었다는 의미"라면서 "상시적인 취약점 제거 체계와 함께, 외부 기관에 의한 정기적인 모의 해킹 테스트도 필요하다"고 했다.
