통신 역사상 최악의 해킹 사고가 터졌다. 2500만명에 달하는 SK텔레콤 가입자 유심 정보가 담긴 HSS 서버가 악성코드에 노출된 것. 일부 가입자 유심 정보가 고스란히 빠져나갔다. 스마트폰 가입자 정보가 고스란히 담긴 ‘유심’은 21세기의 만능 신분증이라 불린다. 본인인증 절차가 대부분 모바일로 진행되는 시대다. 주민등록증, 운전면허증을 제시하던 시대는 끝났다. ‘스마트폰 본인 확인’으로 납세, 결제, 송금, 민원신고 등 대부분 행정, 금융 절차가 이뤄진다. 이때, 본인인증을 위해 확인하는 정보가 바로 유심 정보다.

유심을 활용한 스마트폰 인증은 2020년대 들어 급속도로 활성화됐다. 편의성과 안전성 덕분이다. 기존 공공인증서보다 훨씬 사용이 편하고, 통신사가 해킹이라도 당하지 않는 한, 정보가 노출될 염려가 없었다. 그러나 이번 해킹 사건으로 인해 ‘유심 만능론’ 신화는 무너졌다. 특히 세계 최고 수준 국내 통신사 서버가 뚫렸다는 점에서 보안 업계는 초긴장하는 분위기다. 비(非)통신 먹거리를 찾아 나선 통신사의 신성장동력 전략에도 차질이 생겼다. 정치권과 여론은 통신사들이 본업인 통신업에 역량을 집중할 것을 주문하고 있다.

“최근 SK텔레콤 사이버 침해 사고로 고객과 국민에게 불안과 불편을 초래했다. SK그룹을 대표해서 사과드린다.” (최태원 SK그룹 회장)

국내 1위 이동통신사업자 SK텔레콤이 창사 이래 최대 위기에 빠졌다. 해킹 공격으로 보유하고 있는 유심 정보가 대거 유출됐다. 사안은 아주 심각하다. 단순히 주민등록번호, 전화번호가 빠져나간 것과는 차원이 다르다. 유심은 디지털 신분증이라 할 만큼 민감한 개인정보가 모두 담겨 있는 칩이다. 유심 정보만 있다면 모바일 뱅킹, 가상자산거래소 등에서 사용자 몰래 자산을 빼돌리는 것도 가능하다. 자칫하면 통신부터 금융까지 대혼란이 일어날 수 있는 대형 사고지만, 아직 피해 규모조차 제대로 측정하지 못하고 있다.

정확한 피해 규모 아직도 몰라

유심 교체에 SK텔레콤 총력전

SK텔레콤은 4월 18일 악성코드를 발견하고 해킹 공격 사실을 확인했다. 공격 규모를 분석하다 고객 유심 정보 유출 정황을 발견했다. 공격당한 서버는 홈가입자서버(HSS)다. 스마트폰 ‘인증’과 관련된 민감 정보를 모아둔 곳이다.

과학기술정보통신부가 구성한 민관합동조사단 1차 조사 결과 유출 정보에는 가입자 전화번호, 가입자 식별키(IMSI) 정보 등이 포함된 것으로 알려졌다.

가장 우려가 컸던 단말기 고유식별번호(IMEI)는 유출이 없었다. IMEI는 정보를 가진 사람이 무단으로 복제폰을 만들 수 있는 ‘심 스와핑’이 가능한 핵심 정보다. 복제폰을 만들면, 원래 주인 명의로 스마트폰 인증을 사용하는 금융, 결제, 통신 서비스를 무단으로 쓸 수 있다. 휴대폰 인증을 활용한 유심보호서비스 수준으로는 아예 막지 못하는 대형 피해다. 그렇다고 유출된 정보가 아예 심각하지 않은 것은 아니다. 가입자 식별키(IMSI) 또한 유심을 복제할 수 있는 정보다. 유심보호서비스에 가입하지 않은 사람은 유심이 무단으로 도용당할 가능성이 높다.

다만, IMEI가 무사하다는 것만 확인됐을 뿐, 여전히 정확한 피해 규모, 해커의 정체 등 정보는 오리무중이다.

SKT 서버 해킹 사건을 조사하고 있는 민관합동조사단은 최근 추가로 공개된 악성코드의 유입 시점과 발견 장소 등을 들여다보고 있다고 5월 6일 밝혔다. 조사단은 해당 코드 발견 장소 및 유입·생성 시점, 경로 등에 대한 포렌식 작업을 진행 중이라고 전하면서도 조사 결과에 대해서는 “아직 확인하고 있는 사안”이라고 부연했다. 이에 따라 해킹 주체 등 구체적인 사태 전말이 파악되기까지는 상당한 시간이 소요될 전망이다.

피해 예방을 위한 대책 마련도 늦어지고 있다. 이번 해킹 사태의 근본적인 해결책은 유심 교체다. 새 유심을 받으면 기존 유심 정보가 모두 사라진다. 해커가 가져간 정보가 사실상 의미가 없어진다. 문제는 SK텔레콤이 확보한 유심 개수가 턱없이 부족하다는 것. 해킹 피해를 방지하려면 2500만개에 달하는 유심이 필요하다. 그러나 SK텔레콤이 초창기 확보한 유심 개수는 100만여개에 그쳤다. 필사적인 유심 확보 정책으로 104만명 교체에 성공했지만, 현재 물량으로선 교체 예약자(780만명) 수요 감당도 힘들다. 새로 주문한 교체용 유심 1000만개는 7월은 돼야 확보된다. 유심 물량을 갖춰놔도 문제다. 시·공간 제약으로 하루 교체 가능 횟수가 25만건이 최대다. 적어도 가을은 되어야 유심 교체가 완료될 전망이다.

그나마 적극적인 홍보 덕에 차선책인 유심보호서비스 가입은 대부분 완료됐다. 유심보호서비스에 가입하면 휴대폰 유심 정보가 그대로 복제되는 ‘심 스와핑’을 방지할 수 있다.

SK텔레콤 미흡한 대처 도마에

늦장 신고, 위약금 면책 꼼수까지

해킹 피해 이후 SK텔레콤의 미숙한 대처가 더해지면서 화를 키웠다. 현재 SK텔레콤은 늑장 신고, 소비자 보호 미흡, 신규 가입 유도, 위약금 면제 회피 등으로 여론 뭇매를 맞고 있다.

무엇보다 해킹 피해 사실을 늦게 신고한 것이 도마에 올랐다. 최수진 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 SK텔레콤은 지난 4월 20일 오후 4시 46분에 인터넷 해킹 사건 관련 침해 사고 신고를 제출했다. 해당 신고서에서는 사측의 해킹 인지 시간이 20일 오후 3시 30분으로 기록돼 있는 것으로 밝혀졌다. 하지만 SK텔레콤은 4월 18일 오후 11시 20분에 악성코드를 발견, 해킹 공격을 받았다는 사실을 내부에 공유했다. 실제 해킹 사실 인지 시점은 4월 18일 오후 11시 20분인데, KISA에는 이를 20일 오후 3시 30분이라고 보고한 것. 정보통신보호법에 따르면 정보통신서비스 제공자는 정보 침해 사고가 발생한 것을 알게 된 시점으로부터 24시간 이내에 발생 일시, 원인, 피해 내용 등을 과기부 장관이나 KISA에 신고해야 한다. 이를 어기고 40시간 뒤에나 늦장으로 알린 것이다.

사고 이후 필수 절차인 소비자 보호 역시 미흡했다. 초반에는 문자로 피해 사실을 알리지 않았다. T월드에 공지만 띄웠다. 이 때문에 공론화되기 전까지 SK텔레콤 이용자 대다수가 해킹 사실을 알지 못했다. 논란이 커지자 부랴부랴 문자로 해당 내용을 안내했다.

분노한 이용자들이 KT와 LG유플러스로 갈아타면서 가입자가 줄어들자, 보조금을 늘려 새로운 가입자를 유치하며 공분을 샀다. 교체용 유심마저 부족한 상황 속, 유심을 기존 고객에게 돌려도 모자랄 판에, 신규 가입자에게 유심을 지급하고 있는 것이다. 온라인상에선 ‘교체용 유심은 시간을 끄는데, 신규 가입자에게는 바로 유심을 교체해준다’는 루머까지 돌기도 했다. 이에 과기정통부는 SK텔레콤의 유심 교체 물량 부족 문제를 해결하기 위해, 유심 물량 공급이 안정화될 때까지 이동통신 서비스 이용자 신규 모집을 전면 중단하는 내용의 행정지도를 내렸다.

때아닌 번호이동 방해 의혹까지 터졌다. 통신 업계에 따르면 4월 29일 오후 3~5시께 SK텔레콤 번호이동 전산 시스템에서 장애가 발생했다. 한국통신사업자연합회(KTOA)는 이를 감지하고 과기정통부에 구두로 보고했다. SKT 해킹 사태 여파로 이탈자가 점증하는 상황에서 번호이동 자체에 문제가 생긴 것. 이로 인해 해당 시간대에 KT와 LG유플러스 등 타 통신사로 이동하려는 소비자들이 불편을 겪었다. 소비자 사이에선 고객 이탈을 막기 위해 SK텔레콤이 고의적으로 전산을 지연시킨 것 아니냐는 의혹의 목소리까지 돌았다.

관련 당국인 과기정통부는 전기통신사업법 위반 여부 판단을 위해 조만간 SK텔레콤에 대한 조사를 시행할 것으로 알려졌다.

위약금 면제와 관련해서는 ‘법적 검토’가 필요하다며 즉답을 회피해 비판을 받고 있다. 일반적으로 통신사 이용 고객은 2년 동안 해당 통신사를 유지하는 것을 조건으로 ‘약정 할인’을 받는다. 이때 통신사를 계약이 끝나기 전에 옮기면 위약금을 내야 한다. 이번 사태서 위약금 제도는 SK텔레콤서 타 통신사로 옮기려는 고객을 막는 역할을 해왔다. 그런데 SK텔레콤 약관에 따르면 ‘회사의 귀책 사유’로 인해 해지하는 경우 위약금을 면제받을 수 있는 것으로 드러났다. 4월 30일 열린 국회 청문회에서 해당 내용이 알려졌다. 당시 국회의원들은 청문회에 참석한 유영상 SK텔레콤 사장에게 “위약금 면제가 국민의 상식에 부합한다”고 검토할 것을 요구했으나, 유 사장은 “검토하겠다”는 얘기만 되풀이했다. 대국민 사과를 진행한 최태원 회장 역시 “위약금 면제는 이사회서 논의 중”이라며 대답을 피했다. 통신 업계는 SK텔레콤 측이 이탈자 증가를 우려해 위약금 면제 검토에 소극적인 것 아니냐는 추측을 내놓는다. 위약금 면제가 적용되지 않은 4월 말~5월 초 사이 SK텔레콤을 빠져나간 가입자 수만 21만명을 넘어선 상황이다. 위약금까지 면제되면 이탈자 수는 더 늘어날 수밖에 없다. 오랜 기간 지켜온 ‘통신 1위’의 지위가 흔들릴 수 있는 셈이다.

실제로 SK텔레콤은 “현재 기한 없는 신규 모집 중단이라는 자발적 조치를 한 상황에서 위약금 면제까지 시행할 경우 회사는 회복할 수 없는 피해를 입게 된다”며 “위약금이 높은 고객을 중심으로 번호이동을 할 가능성이 크며, 위약금 면제 시 수백만 회선 해지로 수조원대 손실이 발생할 것으로 추정된다”고 주장했다.

남의 일 아니다…타 통신사도 긴장

배후 중국 해커설 솔솔~ 안보 문제로?

SK텔레콤을 바라보는 타 통신사 표정도 마냥 밝지만은 않다. SK텔레콤 서버가 해킹당했다는 뜻은 KT나 LG유플러스도 언제든지 목표가 될 수 있다는 뜻이라서다. 통신 업계 관계자는 “SK텔레콤 서버를 뚫을 정도로 실력자다. 마음만 먹으면 다른 통신사 서버도 침해할 가능성이 크다. 이미 과거 개인정보 침해를 당해본 다른 통신사들은 지금 사태가 남의 일처럼 느껴지진 않을 것”이라고 분위기를 전했다.

이번 공격 배후로 중국계 해커 그룹이 지목되면서 통신 업계와 보안 업계선 단순 사고가 아닌 국가 안보 문제로 지켜봐야 한다는 목소리가 나온다.

조사단의 1차 조사 결과 해커가 침투에 사용한 것으로 확인된 악성코드는 BPF도어 계열이었다. BPF도어는 평소에는 시스템에 잠복해 있다 해커가 특별한 신호를 보내면 활동을 시작, 서버 보안을 무력화시킨다. 일반적인 서버 방화벽과 감시 체계로는 차단이 힘들다. BPF도어는 중국계로 추정되는 해커 집단이 정부, 통신사, 금융사 등 국가기반시설을 공격할 때 주로 사용하는 수법이다. 업계에서는 BPF도어를 만든 주체가 중국계 해킹 그룹 ‘레드멘션’일 것으로 추정하고 있다. 물론 악성코드 자체는 현재 오픈소스로 공개된 상태다. 때문에 공격자를 특정하기는 힘들다. 다만, 지난해 미국 주요 이동통신사인 버라이즌, AT&T, T모바일 등을 표적으로 삼아 사이버 해킹을 벌인 곳이 중국계 해커 그룹 ‘솔트타이푼’으로 알려진 만큼, 이번 배후에도 중국계 해커 그룹이 유력한 범인으로 지목된다.

통신망은 국가 중요 인프라다. 조금만 문제가 생겨도 통신, 금융, 행정 등이 차질을 빚는다. 특히 이번 사태로 인해 주민번호, 전화번호와 같은 단순 개인정보를 넘어 통신망, 금융 서비스 마비까지 일으킬 수 있는 정보까지 유출됐다. 해커가 마음만 먹으면 국가에 더 큰 혼란을 일으킬 수 있다는 의미다.

최태원 회장 역시 이번 사고가 단순한 해킹이 아닌 국가 안보에 중요한 문제라고 언급했다. 최 회장은 “(해킹 사고는) 저희 그룹으로 보면 보안 문제가 아니라 국방이라고 생각해야 할 상황으로 보인다”며 “국방 체계를 제대로 짜고 안보 체계를 제대로 세우는 게 중요하다. 보안 문제를 넘어서 안보가 생명이라는 생각을 갖고 임하도록 하겠다”고 강조했다.

SK텔레콤 관계자는 최 회장 발언에 대해 “단순한 기업의 정보 유출이라기보다는 기업 생존을 위협할 수 있는 문제로 그만큼 중요하다는 걸 강조했다고 이해했다. 국가에 중요한 인프라에 영향을 주지 않도록 위원회도 설치해서 최고 한도로 보안 수준을 높여 고객들이 안심하고 우리 국가 산업 발전에도 기여할 수 있도록 하겠다는 뜻으로 이해해달라”고 덧붙였다.

[반진욱 기자 ban.jinuk@mk.co.kr]

[본 기사는 매경이코노미 제2309호 (2025.05.14~2025.05.20일자) 기사입니다]

[Copyright ⓒ 매경이코노미. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지.]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]