SKT가 디지털 본인인증의 핵심 정보가 담긴 유심(USIM) 서버를 해킹당하면서 2500만 명에 달하는 고객의 유심을 교체해야 하는 분위기다.

특히 과거의 해킹 사례와 비교해도 더욱 광범위하고 핵심적인 정보가 유출되면서 개인정보 보호를 위한 더 강한 대책과 보상 방안이 필요한 것으로 보인다.

이에 SKT의 개인정보 보호 정책과 개인정보 보호 시스템 종류, 향후 통신업계 전망 등을 정리했다.

▲ SKT 해킹 사태와 대응

지난 4월 18일 SKT의 홈가입자서버(HSS)가 해킹당하면서 유심 인증키(KI), 이동가입자식별번호(IMSI) 약 9.7GB가 유출됐다.

정확한 피해 규모는 밝혀지지 않았으나, SKT는 가입자 전원의 유심을 무상으로 교체해주겠다고 밝혔다.

이번 사건에서 탈취된 데이터는 디지털 공간에서 본인을 확인하는 ‘인증수단’ 정보로, 해당 정보를 통해 유심을 복제하고 피해자인 척 금융 범죄를 일으킬 수 있는 ‘심스와핑’이 가능한 것으로 알려졌다.

심 스와핑이 발생하면 피해자는 자신도 모르는 사이에 통장의 잔고가 인출되거나 비대면 대출을 받는 등의 사기 피해가 발생할 수 있다.

특히 명의도용 범죄를 막기 위해 사용하던 본인인증 절차가 심 스와핑에 의해 무력화될 수 있다는 우려의 목소리도 나온다.

이에 대처하는 가장 확실한 방법은 유심을 교체하는 것이지만, 지난달 SKT가 제공한 유심 물량은 약 100만 장에 불과한 것으로 알려졌다.

이에 SKT는 이번 달과 다음 달에 거쳐 각각 500만 장의 유심을 추가로 확보한다고 밝혔다.

즉각적인 유심 전면 교체가 불가능해지면서, SKT는 심 스와핑을 방지하는 ‘유심보호서비스’를 모든 고객에게 적용했다.

▲ 대규모 해킹, 예견된 일이었나?

한편 일각에서는 SKT의 보안 취약점이 드러난 것이 당연한 순서였다는 지적도 나온다.

지난해 SKT가 정보보호에 투자한 자금은 영업이익의 3.2% 수준인 약 600억 원으로, KT 1218억 원, LG유플러스 632억 원과 비교했을 때 최하위 수준이다.

특히 타 통신사들이 보안 투자를 지속 확대하는 것과 달리 SKT는 AI 기술 등 고부가가치 기술 개발을 위해 투자금을 오히려 축소했다.

다만 SKT 관계자는 “SK의 정보보호 투자는 SKT와 SK브로드밴드로 나누어져 있으므로 이를 합쳐서 고려해야 하며, 전부 더하면 약 800억 원 수준이다”라고 설명했다.

한편 대부분 통신사가 고객 정보를 전면 암호화하는 것과 달리 SKT는 고객 이름과 주민등록번호 등의 개인정보만 암호화하고 유심 정보는 평문으로 보관해 이번 해킹 피해를 더 크게 본 것으로 나타났다.

외부와 정보를 주고받을 때는 암호화해 전달하지만, 내부 저장 시에는 명문 규정이 없었기에 암호화가 미진했던 분위기다.

이번 서버 해킹 사태로 인해 한동안 SKT는 유심 교체에 주력할 전망이다.

지난달부터 시작된 유심 교체 과정에서 신규 가입도 여전히 진행하는 모습을 지적받았고, 이후 정부의 요청에 따라 SKT는 현재 신규 가입을 중단한 상태다.

또 이에 따라 발생하는 SKT 매장의 영업 손실 역시 보전한다고 밝혔다.

그럼에도 현재 유심칩의 물리적인 부족으로 인해 다수의 이용자는 유심보호 서비스에 의지하고 있다.

주의해야 할 점은 오는 14일 유심보호 2.0이 업데이트되기 이전에는 로밍 서비스와 중복 사용할 수 없으며, 출국 시에는 공항에서 유심을 교체하고 나가야 한다.

이에 해킹 사태 이후 지난 3일까지 약 20만 명에 달하는 고객이 타 통신사로 번호를 이동한 것으로 알려졌다.

다만 이러한 번호이동 과정에서 발생하는 위약금에 대해서는 SKT 귀책사유라 하더라도 보전하지 않을 가능성이 높아지는 분위기다.

지난 8일 국회 청문회에 참석한 SKT 유영상 CEO는 위약금을 면제할 경우 최대 500만 명에 달하는 이용자가 이탈할 수 있으며, 이로 인한 손실이 최대 7조 원에 달할 것이라고 밝혔다.

SKT 관계자는 “이용자 형평성 문제와 법적 문제를 같이 검토해야 할 사안이기에 확답이 어려우며, 이사회에서 논의 중”이라고 말했다.