[방은주의 보안산책] 호미로 막을 걸 가래로 막는 대한민국
칼럼 제목만으로 눈치 챘을 것 같습니다. 그렇습니다. 오늘 칼럼 주제는 SK텔레콤(SKT) 유심(USIM) 해킹과 관련한 것입니다. 사건 발생 17일이 됐는데 아직 사태가 진정되지 않고, 여전히 온 나라가 들썩이고 있습니다. 소비자 불만은 계속되고 있고, 와중에 SKT는 비상사태를 선포했습니다. '유심(USIM)'은 우리가 휴대폰에 꽂아 사용하는 작은 칩입니다. 공식 명칭은 Universal Subscriber Identity Module이구요. 휴대폰 가입자의 신원과 인증 정보를 담은 스마트카드입니다. 휴대폰이 통신망에 접속할 때 내가 누구인지(가입자 정보)를 인증해 주는 기능을 하죠. 과기정통부의 행정지도에 의거, SKT는 매일 해킹 사태를 국민에 알려야 합니다. 오늘(6일)도 SKT는 서울 중구 삼화빌딩에서 일일 브리핑을 했습니다. 6일 오전 9시 기준, 유심 보호 서비스에 2411만명이 가입(알뜰폰 이용자 포함)했고 104만명이 유심을 교체했다는 군요. 유심 보호 서비스는 서버 해킹에 따른 2차 피해를 막을 수 있는 서비스입니다. 유심 교체와 동일한 효과가 있다죠. 하지만 유심보호 서비스는 해외 로밍이 안된다는 단점이 있습니다. SKT 가입자는 2300만명입니다. 국내 1위 이동통신사업자죠. 여기에 SKT 망을 쓰는 알뜰폰 가입자도 200만명이나 됩니다. SKT는 시스템을 개발, 오는 14일부터 유심보호서비스와 해외 로밍이 동시에 가능하도록 할 계획입니다. 이날 브리핑에서 김희섭 SK텔레콤 PR센터장은 "아직 유심 교체 대기자가 많아 죄송하다. 최대한 빨리 조치할 수 있도록 하겠다"고 다시 한번 머리를 숙였습니다. 딱한 모습입니다. 독자들도 그랬겠지만, 이번 유심 해킹 사태로 떠오른 속담이 있었습니다. '호미로 막을 걸 가래로 막는다'는 거요. 좀 더 일찍 선제적으로 보안 투자를 했더라면, 지금 같은 회사의 비상사태 선포와 난리는 없었을 텐데요. SKT는 보안투자 규모가 다른 통신사보다 적었다죠. 작년에 SKT가 정보보호분야에 투자한 금액은 본사 600억원, 유선서비스 자회사인 SK브로드밴드 267억원 등 총 867억원이라고 합니다. 경쟁사인 KT는 작년에 1218억원을 투자, 금액만 보면 SKT의 두배에 달했습니다. 시장 1위는 SKT인데 보안 투자액은 절반 정도에 그쳤네요. SKT는 작년에 매출 17조9406억원, 영업이익은 1조8234억원을 기록했습니다. 매출 대비 보안투자 금액이 미미하죠. 앞서 지난달 30일 류정환 SK텔레콤 부사장은 국회 과학기술정보방송통신위원회에 참석해 “네트워크 쪽은 암호화가 되어있지 않은 부분이 많다. 이 부분에 대해 굉장히 반성하고 있다"고 말했는데요, 반성할 부분이 많이 있는 것 같습니다. 아직 당국의 조사가 진행중이지만, 이번 SKT 사태는 우리에게 여러 메시지를 전합니다. 우선, 보안 투자가 비용이 아니고 회사와 기관의 유지와 지속 성장을 위한 '필수'라는 것입니다. 차재에,정보보호최고책임자(CISO)의 실질적 권한도 다시 들여다봐야 합니다. 법령에 따라 일정 규모 이상 기업과 기관은 CISO를 두고 있는데요, 하지만 실질적인 권한이나 조직의 뒷받침은 부족한 경우가 많습니다. 참고로 과기정통부 최근 발표에 따르면, 정보보호 공시 의무대상 기업은 올해 671곳입니다. 작년(655곳)보다 16곳이 늘었습니다. 과기정통부는 국민의 안전한 인터넷 이용 및 기업의 정보보호 투자 활성화를 위해 정보보호 투자, 전담인력, 관련 활동 등 기업의 정보보호 현황을 의무적으로 공개하는 정보보호 공시의무 대상 기업(안)을 매년 선정, 발표하고 있습니다. 이들 정보보호 공시의무 대상 기업은 오는 6월 30일까지 정보보호 현황을 정보보호 공시 종합 포털(isds.kisa.or.kr)에 제출해야 합니다. 이를 미이행하면 최대 1천만 원의 과태료를 내야합니다. 인공지능(AI)이 등장하면서 해킹 수법이 더 고도화하고 진화, 이전보다 해킹 사고 위협이 커졌습니다. 하지만 위기는 기회입니다. 위기라는 말 자체가 위험과 기회를 합친 말이라죠. 이번 SKT 유심 해킹 사태가 대한민국이 안전한 사이버 강국으로 한단계 더 도약하는 기회가 됐으면 합니다. 기간통신망 지도 감독과 책임이 있는 과기정통부는 지난 3일 유상임 장관이 직접 한국인터넷진흥원(KISA) 인터넷침해대응센터를 방문, 사이버 침해 모니터링 및 대응 현황을 점검하는 한편, 통신 3사 및 주요 플랫폼 기업(네이버, 카카오, 쿠팡, 우아한형제들)의 정보보호 현황을 점검했습니다. 이날 과기정통부는 "이번 현장점검은 SKT 침해사고가 국가 네트워크 전반의 보안과 안전에 경종을 울리는 중대한 사안"이라고 진단했습니다. 또 현장에서 유상임 장관은 “이번 침해사고를 계기로 주요정보통신기반시설 지정, 정보보호 투자, 정보보호 인증제도, 공급망 보안, 침해사고 대응 등 정보보호 체계 전반을 전면적으로 재검토해 미흡한 부분을 개선해 나가겠다”고 강조했습니다. 소 잃고 외양간 고친다는 우리 속담이 있죠. 소는 잃었지만 외양간이 든든한 지 다시 한번 들여다봐야 겠습니다. 다른 곳의 소는 더 이상 잃지 말아야 할테니까요. 인공지능(AI)이 등장하면서 해킹 수법이 더 고도화하고 진화, 이전보다 해킹 사고 위협이 더 커졌습니다. 위기는 기회라죠. 실제 위기라는 말은 위험과 기회를 합친 말입니다. 이번 SKT 유심 해킹 사태가 대한민국이 안전한 사이버 강국으로 한단계 더 도약하는 기회가 됐으면 합니다.
