전체기사 최신뉴스 GAM
KYD 디데이
산업 ICT

속보

더보기

SKT, 유심 정보 '암호화' 미비…'유심 해킹 피해 귀책사유' 될까

기사입력 : 2025년05월08일 08:28

최종수정 : 2025년05월08일 13:48

"유심 정보는 암호화 의무 대상 아냐" vs "유심 정보도 '광의의 개인정보' 해당"
KISA·과기부 "통신사 암호화 현황 관리하지 않아…자료 요구할 법적 근거 없다"

[서울=뉴스핌] 김영은 인턴기자 = SK텔레콤이 네트워크와 서버 내 유심(USIM) 정보의 암호화를 완료하지 않은 사실이 드러나면서, 해당 사실이 이번 해킹 사태의 '귀책사유'로 지목될 가능성이 제기되고 있다. 

앞서 이준석 의원(개혁신당)은 지난달 30일 국회 청문회에서 "SKT가 사업을 영위한 지 30년이 지났는데, 그때부터 유심 정보가 평문(암호화하지 않은 상태)으로 관리됐다는 건 충격적"이라며 "이 정도 수준의 식별 정보를 암호화하지 않았다는 건, 보안 엔지니어링의 기본도 지키지 않은 것"이라고 지적했다. 이에 류정환 SKT 부사장 겸 네트워크 인프라 센터장은 "네트워크 쪽은 암호화돼 있지 않은 부분이 많다"며 "데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다"고 시인했다. 

[서울=뉴스핌] 최지환 기자 = 유영상 SK텔레콤 대표가 30일 오전 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에서 물을 마시고 있다. 2025.04.30 choipix16@newspim.com

8일 통신업계에 따르면, SKT의 네트워크 암호화 및 서버 저장 데이터 암호화 작업은 여전히 완료되지 않은 상황이다. 류 부사장은 지난 2일 유심 정보 유출 관련 일일 브리핑에서 "암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다"고 밝혔으나, 다음날 공식 브리핑을 마친 뒤 "전체 암호화는 진행 중이지만, 일부 예외 구간(호 처리 즉, 통화 연결 등 일부 민감한 구간)은 다른 방식으로 보안을 강화할 방안을 찾아나가고 있다"며 암호화 작업이 완료되지 않았음을 인정했다.

서버 저장 데이터 및 네트워크 암호화란, 통신망을 통해 주고받는 데이터(음성, 문자, 인증정보 등)를 읽을 수 없는 암호문으로 바꿔 전송함으로써, 외부에서 도청하거나 탈취하더라도 내용을 알아볼 수 없게 만드는 보안 기술이다. 암호화를 적용하면, 해커가 데이터를 가로채더라도 쓸모없는 문자 덩어리(암호문)만 얻게 돼 개인정보 ▲유출 ▲도청 ▲변조 ▲신원 도용 등 각종 사이버 범죄를 예방할 수 있다. 결과적으로 SKT 이용자들의 '가입자 인증 번호(IMSI)' '인증키(Ki)' '유심 일련번호' 등 핵심 정보는 암호화를 거치지 않아 외부에 노출된 상황이다.

SKT는 암호화에 대한 '법적 의무'가 없다는 입장이다. 개인정보보호위원회 고시 '개인정보의 안전성 확보조치 기준' 제7조 2항에 따르면 개인정보처리자가 암호화해 보관해야 할 정보에는 주민등록번호, 여권번호 등만 명시돼 있다. 류 부사장은 지난달 30일 국회에서 "법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다"고 밝혔지만, 유심 칩의 가입자 식별번호, 인증키 등이 암호화 의무 대상이 아니라는 취지의 입장을 고수 중이다. 

◆ 전문가 "유심정보도 안전성 조치 취해야 할 '광의의 개인정보'" 지적

[서울=뉴스핌] 최지환 기자 = 가입자 유심(USIM) 정보를 해킹 당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 강서구 김포공항 국제선 SKT 로밍센터에서 고객들이 유심교체를 위해 줄을 서 있다. 2025.04.28 choipix16@newspim.com

정보보호학계와 법조계 일각에서는 유심에 내재된 정보를 '광의의 개인정보'로 해석해야 한다며 SKT 측의 귀책사유 가능성을 제기하는 목소리도 나왔다. 유출된 정보가 가입자 식별에 사용될 수 있는 만큼, 정보 보호를 위한 안전성 조치가 필수적이었다는 주장이다.

엄흥열 순천향대 정보보호학과 교수는 "유심 정보는 법에서 정한 암호화 의무 대상에 포함되지는 않는다"면서도 "그렇지만, 광의로 봤을 때 개인정보라고 볼 수 있는 소지가 크다"고 말했다. 

이어 "SKT가 개인정보 보호법 제29조의 안전성 조치 중에서 '침입 탐지 및 차단 조치' '접근 통제 조치' '악성 프로그램 침투 여부 점검 및 치료 프로그램 설치 운영 등의 갱신 등의 조치' 등의 위반 소지도 크다고 보여진다"며 "통신업계 관행보다 SKT의 (암호화) 보호조치가 미비한 것으로 판별이 날 경우에, SKT의 책임이 없다고 보기 힘들다"고 지적했다.

개인정보 보호법 제29조는 개인정보처리자에게 분실, 도난, 유출, 위조, 변조, 훼손 등을 방지하기 위해 대통령령으로 정하는 기술적, 관리적, 물리적 조치를 취할 것을 명시하고 있다. 시행령 제30조는 구체적으로 ▲침입 탐지 및 차단(제30조 3호) ▲접근 통제(제30조 2호) ▲악성 프로그램 점검 및 치료(제30조 4호) 등을 포함하고 있다.

최장혁 개인정보보호위원회 부위원장은 지난 4월 정부서울청사에서 열린 정례브리핑에서 SK텔레콤 해킹 사고와 관련해 SKT의 안전성 확보 조치 미흡 가능성을 공개적으로 지적한 바 있다. 

명현준 변호사(법무법인 명량)도 "유출된 정보가  '온라인에서 가입자가 누구인지를 증명하는 신분증과 같은 고유번호나 인증 키'라는 점을 고려하면, 개인정보에 포함될 여지가 크다고 생각된다"며 "유심 불법복제와 같은 범행을 통해 인증시스템의 취약점을 악용해 실질적인 피해로 연결될 수 있다는 점을 생각하면, 통신상 인증을 가능하게 하는 신분증도 개인정보에 포함될 여지가 있다"고 말했다. 

다만 "현행법상 유심 정보 암호화를 의무화한 조항은 없어 입법적 공백이 존재한다"며 "이번 사태는 법원이 '안전성 조치 미흡'을 근거로 SKT의 책임을 인정할지 여부가 핵심 쟁점이 될 것"이라고 덧붙였다. 

아울러 "SKT가 암호화를 하지 않은 이유가 무엇인지, 침입차단을 위한 정책이나 조치 등 다른 동시대 보편적인 보안수준의 보호가 이뤄지고 있었는지 등이 종합적으로 고려돼야 한다"며 "구체적인 통신사별 보안조치 자료들은 이번 사태를 계기로 공개돼야 할 것이고, 미진한 점들은 확인 즉시 보완해야 할 것으로 생각된다"고 강조했다. 

◆ 정부기관 "통신사 암호화 현황 관리하지 않아…법적 근거 없다"

현재 SKT를 비롯한 국내 주요 통신사의 암호화 현황을 관리하는 정부기관은 없다. KISA 측은 "국내 통신 3사 네트워크 암호화 현황을 알 수 있는 자료를 보유하고 있지 않다"며 "과학기술정보통신부의 네트워크 정책과에 문의를 해 봐야 한다"고 답했다. 이에 과기부 측은 "정부가 통신사 측에 암호화 현황을 요구할 법적 근거는 없다"며 "SKT는 해당 회사에서 자발적으로 암호화 실태를 공개한 것이고, 그 밖에 사고가 발생하지 않은 LG유플러스나, KT의 현황을 요구할 법적 근거가 없어서 암호화 현황을 알고 있진 못하다"고 설명했다.  

과기부가 주도하는 민관합동조사단은 SK텔레콤 해킹 사건에서 암호화 미비와 해킹의 연관성을 집중적으로 조사하고 있다. 조사단은 최근 추가로 발견된 8종의 악성코드가 어디서, 어떻게 들어왔는지 조사하고 있다. 현재 포렌식 분석을 통해 ▲악성코드 생성 시점 ▲HSS(홈가입자서버)와의 연결성 ▲유심 정보 유출 경로 등을 종합적으로 확인 중이다. 특히 암호화 미비로 인한 추가 피해가 입증될 경우, SKT의 기술적·관리적 책임이 강조될 전망이다. 민관합동조사단은 이르면 6월 중순쯤 중간 조사 결과를 발표할 계획이다.

SKT 유심 정보 유출 사태와 관련해 집단(공동)소송을 주도하고 있는 하희봉 변호사(로피드 법률사무소 대표)는 "암호화 미비와 해킹의 직접적 인과관계를 밝히기 전까지 판단이 조심스러운 면이 있다"면서도 "다만, 유심 정보가 암호화되지 않은 채 저장됐던 사실은 분명하고, 이런 상황에서 해킹이 발생해 대규모 정보 유출로 이어졌다면, SKT의 책임을 완전히 배제하기는 어렵다고 본다"고 말했다. 

한편, 최태원 SK그룹 회장은 전날 SK텔레콤 본사에서 열린 브리핑에 직접 참석해 최근 발생한 해킹 사태에 대해 대국민 사과를 발표했다. 최 회장은 "사고 이후 소통과 대응이 미흡했던 점에 대해서도 뼈아프게 반성한다"며 재발 방지를 위한 전사적 보안 체계 점검과 외부 전문가가 참여하는 정보보호혁신위원회 구성 등 후속 대책을 약속했다. 또, 정부 조사에 성실히 협조해 사고 원인 규명과 피해 복구에 최선을 다하겠다고 강조했다.

[서울=뉴스핌] 양윤모 기자 = 최태원 SK그룹 회장이 7일 오전 서울 중구 SK텔레콤 T타워 SUPEX홀에서 열린 해킹 사태 관련 일일 브리핑에 참석해 해킹 사고 이후 19일 만에 고개숙여 대국민 사과를 하고 있다. [공동취재] 2025.05.07 yym58@newspim.com

yek105@newspim.com

[뉴스핌 베스트 기사]

사진
'남편 명의 대리투표' 영장 청구 [세종=뉴스핌] 이정아 기자 = 21대 대통령선거 사전투표 첫날 배우자 명의로 대리투표를 한 선거사무원에 대해 경찰이 구속영장을 청구했다. 31일 서울 수서경찰서는 대선 투표사무원 A씨에 대해 전날 공직선거법상 대리투표 혐의로 구속영장을 청구했다고 밝혔다. [서울=뉴스핌] 류기찬 인턴기자 = 제21대 대선 사전투표 첫째날인 29일 오전 서울 마포구 용강동주민센터에서 유권자들이 투표를 위해 줄을 서고 있다. ryuchan0925@newspim.com A씨는 지난 29일 정오 무렵 강남구 대치2동 사전투표소에서 남편의 신분증으로 투표용지를 발급받아 대리투표를 완료한 뒤 약 5시간 후 자신의 신분증으로도 투표한 혐의를 받고 있다. 경찰은 같은 날 오후 5시 11분께 "투표를 두 차례 한 유권자가 있다"는 무소속 황교안 대선후보 측 참관인의 신고를 접수하고 출동해 A씨를 긴급 체포했다. 강남구 보건소 소속 계약직 공무원인 A씨는 대선 투표사무원으로 임명돼 유권자들에게 투표용지를 발급하는 업무를 담당한 것으로 조사됐다. plum@newspim.com 2025-05-31 13:52
사진
극우단체 댓글 여론 조작 의혹 [서울·청주=뉴스핌] 한태희 지혜진 기자 = 극우 단체가 댓글 조작팀을 만들어 여론을 조작했다는 의혹이 불거지자 이재명 더불어민주당 대통령 후보는 "반란 행위"라고 규정하며 국민의힘과의 연관성도 거론했다. 국민의힘은 댓글 조작팀은 김문수 대통령 후보뿐 아니라 당과 관련이 없다고 부인했다. [평택=뉴스핌] 김학선 기자 = 이재명 더불어민주당 대선 후보가 31일 경기도 평택시 배다리 생태공원 앞에서 선거 유세를 하고 있다. 2025.05.31 yooksa@newspim.com 이재명 후보는 31일 경기 평택 배다리 생태공원에서 선거 유세에서 "국민 여론을 조작하려는 것은 사실상 반란행위"라고 강하게 비판했다. 이재명 후보는 이어 "댓글을 조작하고 가짜뉴스를 쓰는 행위를 용서할 수 있나"라며 "마지막 잔뿌리까지 다 찾아내 엄중히 책임을 물어야 한다"고 강조했다. 이재명 후보는 댓글 조작팀이 국민의힘과 연관돼 있을 수 있다는 의혹을 제기했다. 이재명 후보는 "더 심각한 것은 국민의힘 관련성이 높다는 것으로 국회의원이 그 단체를 오갔다는 말도 있고 가짜 기자회견을 함께 했다는 이야기도 있다"며 "나라 뒤집어질 중범죄 행위가 나올 것 같다"고 말했다. 민주당도 거들었다. 조승래 민주당 수석대변인은 이날 충북 청주 오창프라자 앞 광장에서 긴급 브리핑을 통해 "김문수 후보와 국민의힘은 저열한 여론조작에 어디까지 가담했는지 실토하라"고 말했다. 조승래 수석대변인은 "12·3 쿠데타의 실패에도 또다시 대한민국을 집어삼키려는 극우 내란 카르텔의 여론조작을 규탄한다"면서 "김 후보와 국민의힘은 여론 조작 공작에 어디까지 가담했는지 밝혀야 하며 보도에 거명된 권성동 원내대표, 김상훈 정책위의장, 조정훈 의원은 직접 해명해야 할 것"이라고 덧붙였다. [강릉=뉴스핌] 최지환 기자 = 김문수 국민의힘 대선후보가 31일 오후 강원 강릉시 중앙시장 앞에서 열린 집중유세 현장에서 이재명 후보와 부인 김혜경 여사의 법인카드 유용 의혹을 비판하는 퍼포먼스를 하고 있다. 2025.05.31 choipix16@newspim.com 국민의힘은 반박문을 내고 일방적인 주장이라고 맞섰다. 국민의힘 중앙선대 미디어법률단은 "국민의힘과 김문수 후보는 '리박스쿨'이나 '자손군'과 아무런 관련이 없다"며 "민주당이 드루킹 댓글조작단을 운영했던 경험을 바탕으로 허위 사실로 해당 단체들과 국민의힘을 억지로 연관시키고 있는데 무리한 시도"라고 비판했다. 이어 미디어법률단은 "뉴스타파와 민주당 주장을 일방적으로 받아쓴 보도가 쏟아지고 있다"며 "유권자 민심을 왜곡할 수 있는 불공정 보도, 허위보도에 대해서는 엄중하게 법적 조치를 취하겠다"고 강조했다. 한편 온라인매체 뉴스타파는 전날 '리박스쿨'이라는 보수단체가 '댓글로 나라를 구하는 자유손가락 군대(자손군)'를 만들어 이재명·이준석 후보를 비방하고 김문수 후보를 추켜세우는 댓글을 올리고 댓글을 올린 사람에게 초등학교 늘봄학교 강사 자격증을 발급하는 여론 조작에 나섰다고 보도했다.  ace@newspim.com 2025-05-31 17:07
안다쇼핑
Top으로 이동