SK텔레콤 유심 해킹 사태를 두고 전문가들은 ‘총체적 문제’가 한 번에 터졌다고 지적한다. 기업 보안 체계의 구조적 문제와 정부 대응의 한계가 여실히 드러났다는 평가다. 해킹 재발 방지와 개인 피해 최소화를 위한 대책 마련이 시급하다는 지적도 쏟아진다.

악성코드 불안감 여전해

“해킹, 국가 차원 소행 가능성”

KISA(한국인터넷진흥원) 조사에 따르면 큰 위기는 넘긴 상태다. 가장 치명적인 정보인 IMEI는 유출되지 않았고, HSS 서버 외 악성코드가 발견된 곳은 없다. 그동안 통신 업계가 상정한 ‘최악의 수’는 비켜갔다.

단, 전문가들은 아직 “안심하기엔 이르다”고 진단한다. 총 12종의 악성코드가 발견된 HSS 서버 3대가 서로 연결된 것인지, 각각의 폐쇄망을 통해 분리된 것인지가 중요하기 때문이다. 분리된 서버라면 문제가 크지 않을 수 있다. 해당 서버에서 악성코드가 다른 서버로 넘어가기 어렵다. 그러나 연결된 서버라면 문제가 복잡해진다. 연결된 HSS를 타고 다른 서버로 갈 수 있기 때문이다. 임종인 고려대 정보보호대학원 명예교수는 “이번에 사용된 악성코드는 ‘BPF백도어’ 형태의 중국발 오픈소스 기반 악성코드로, 변종 악성코드가 계속 나타나는 구조”라며 “서버가 내부망 등을 통해 연결돼 있었다면 악성코드의 측면 이동이 가능해 주변 서버나 별도로 보관된 민감한 정보까지 함께 유출됐을 가능성이 크다”고 진단했다.

1회성 공격이 아니라는 점도 경계심을 돋우는 이유다. 전문가들은 이번 해킹 공격이 단기적인 해킹 시도가 아닌, 수개월에 걸친 ‘APT(지능형 지속 공격)’ 양상을 띠었을 가능성에 무게를 둔다. 단순 정보 탈취 목적을 넘어선 의도가 내포됐을 가능성이 있다는 심증이다. 해커들이 유출한 정보를 다크웹 등에 올려 거래하지 않고 있는 정황 또한 “정치적 또는 전략적 목표 달성을 위한 해킹일 수 있다”는 해석에 무게를 싣는다. 임종인 교수는 “이번 해킹은 APT 방식으로, SKT의 핵심 서버에 장기간 잠복했을 가능성이 크다”며 “해킹 목적도 정치적 목적, 유력 인물에 대한 정보 수집 목적 등 다양한 가능성이 존재한다”고 분석했다.

이번 해킹이 ‘국가적 차원’에서 진행될 수 있다는 의견도 제시됐다. 황석진 동국대 국제정보보호대학원 교수는 “상당히 정교하게 준비된 것으로 보아 해킹 세력이 고도의 전략을 가진 세력일 가능성이 크다”며 “SK텔레콤 통신망은 사실상 국가 기반 시설로, 이곳을 뚫었다는 것은 국가 차원 개입일 가능성도 있다”고 분석했다.

개인 차원 대응 방안은?

‘유심 교체’ 스미싱 주의해야

가장 시급한 대책은 개인 피해 방지다. 다만, 현실적으로 일반 소비자가 취할 수 있는 대응 수단은 많지 않다. 유심보호서비스 가입이나 유심 교체가 최선의 방어책으로 제시된다. 다행히 단말기 고유식별번호(IMEI)는 유출되지 않았다. 이동통신망 구조상 같은 유심 정보로 두 대의 단말기가 동시에 접속하는 것은 불가능하기 때문에, 복제폰 사용은 기술적으로 차단된 상태다. 유심보호서비스만 가입해도 어느 정도 피해를 방지할 수 있다.

단, 이미 유출된 정보가 스미싱이나 원격 개통 등에 악용될 수 있는 여지는 남아 있다. 기술적으로 유심 복제는 어렵지만, 관련 정보를 기반으로 한 2차 공격 가능성은 여전히 존재하는 셈이다. 황석진 교수는 “최근 SKT를 사칭한 스미싱 시도가 급증하고 있어, 모르는 링크 클릭이나 인적사항 제공 요구 등에 절대 응하지 말아야 한다”고 강조했다.

민감한 정보가 유출됐음을 상정해 개인 차원에서 가능한 보안 조치를 취하는 것도 좋다. 각종 플랫폼 비밀번호나 금융 애플리케이션 인증 수단을 변경하고, OTP 등 이중 인증 수단을 적극적으로 사용하는 것이 권장된다.

SKT發 보안 규제 어떻게?

“사후 규제보단 인센티브로”

재발 방지를 위해서는 기업이 보안 투자를 강화하도록 환경을 만들어줘야 한다는 주장이 제기된다.

실제로 이번 사태는 기술력 문제로 보기 어렵다는 게 전문가들 한목소리다. 기술력보다는 기업 내 보안 체계 부실을 원인으로 지목하는 이가 많다. SK텔레콤은 형식상 최고정보보호책임자(CISO)를 두고 있었지만, 네트워크 보안에 관한 실질적 권한은 전혀 없는 상태였다. 실질적인 보안 업무는 네트워크운용본부 산하 인프라보안팀이 담당한다. 이 같은 구조에서는 내부 침해 상황을 빠르게 인지하고 대응하는 것이 사실상 불가능하다.

김형중 호서대 디지털금융경영학과 석좌교수는 “이번 사고의 피해 규모보다 더 중요한 문제는 기업 내 보안 운영 체계에 있다”며 “SK텔레콤이 명백한 이상 징후를 인지하고도 우왕좌왕한 것은 대응 매뉴얼조차 제대로 없었다는 방증”이라고 꼬집었다.

정치권은 재발 방지를 위해 ‘규제 강화’에 나섰다. 정치권에서는 재발 방지를 위한 정보 보호 규제 강화의 움직임이 확산하고 있다. 해킹 사고가 벌어진 후 전기통신사업법과 개인정보보호법 개정안 등 관련 법안 3건이 잇달아 발의됐다. 법안들은 ‘해킹 이후 모니터링 의무 부과’ ‘정보 유출 시 위약금 면제’ 등 IT 기업의 이용자 개인정보 보호와 해킹 사고 시 후속 조치 의무를 강화하는 내용이 골자다.

다만 규제 일변도 정책은 근본적인 해결책이 되기 힘들다. 포괄적 규제가 신산업, 특히 인공지능(AI)이나 빅데이터와 같은 데이터 중심 기술의 성장을 제약할 수 있어서다. 임종인 교수는 “법과 제도만으로는 해커보다 앞설 수 없다”며 “기업이 자체적으로 능동적 대응 체계를 갖추고, 실패를 용인하며 지속적으로 보안 체계를 강화하는 문화가 필요하다”고 말했다.

일괄적인 규제보다는 기업이 보안 체계를 잘 마련할 수 있도록 대책을 마련해야 한다는 게 전문가 중론이다.

김형중 교수는 “규제가 강해지면 기업은 최소 요건만 맞추려 하고, 근본적인 체질 개선을 외면하게 된다”며 “오히려 정보 보안에 적극 투자하는 기업에 세제 혜택이나 인증 혜택을 주는 유인책이 더 효과적일 수 있다”고 제안했다. 황석진 교수도 “정책 기조를 사고 이후의 책임 강화에서 사고 예방 중심으로 전환해야 한다”며 “실효성 있는 대응 체계를 갖춘 기업이 시장에서 경쟁력을 갖도록 제도를 설계하는 방향이 바람직하다”고 강조했다.

[조동현 기자 cho.donghyun@mk.co.kr]

[본 기사는 매경이코노미 제2309호 (2025.05.14~2025.05.20일자) 기사입니다]

[Copyright ⓒ 매경이코노미. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지.]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]