[사설] 이번엔 SKT 해킹 사태, 소 잃고 외양간도 못 고치나

▲SK텔레콤이 이용자 개인정보에 대한 해킹 공격을 받아 관계 당국이 비상대책반을 구성했다. SKT는 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황을 확인했다고 밝혔다. 서울 중구 SK텔레콤 본사 모습. 연합뉴스

SK텔레콤(SKT) 해킹 사태에 따른 개인정보 유출 파문이 번지고 있다. SKT는 가입자 수가 2300만 명에 달하는 국내 최대 이동통신사다. 파장이 어디로 어떻게 번질지 가늠하기 어렵다. 최악의 경우 해커들이 2차 범죄를 저지를 가능성도 없지 않다.

SKT가 24일 국회 과학기술정보방송통신위원회 소속 최수진 의원에게 제출한 자료에 따르면 사내 시스템 데이터가 의도치 않게 움직였다는 사실이 최초로 인지된 것은 18일 오후 6시 9분이다. 악성코드를 발견한 것은 같은 날 오후 11시 넘어서다. 어떤 데이터가 빠져나갔는지 분석에 들어간 것은 19일 오전 1시 40분부터다. SKT가 한국인터넷진흥원(KISA)에 보고한 것은 20일 오후 4시 46분이다. 최초 인지 시점과 45시간 차이가 난다. 인지 24시간 이내에 신고해야 하는 규정을 위반한 결과다.

SKT는 “사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것”이라고 했다. 이해 가는 측면이 없지 않지만 고객 정보를 유출한 것도 모자라 초기 대응도 치밀하지 못했다는 지적을 면할 길이 없다.

회사는 주민등록번호, 주소, 이메일 등 민감한 개인정보나 금융정보는 유출되지 않았다고 설명하고 있다. 이동가입자식별번호, 유심 인증키 등만 유출된 것으로 의심된다는 것이다. 하지만 유심이 가입자의 식별·인증 정보를 저장하는 ‘디지털 신원’ 역할을 한다는 점에서 안심할 단계는 아니다. SKT는 악성코드를 삭제하고, 해킹 의심 장비를 격리했다고 한다. 해커가 복제폰을 만들어 추가 범행을 시도할 가능성에 대비, 유심 보호 서비스를 제공하기도 했다. 하지만 일단 보안에 구멍이 난 만큼 우려를 덜 수는 없는 상황이다.

이번 사태는 2023년 LG유플러스에 이어 2년 만에 발생한 이동통신사 개인정보 유출 사고다. KT에서도 2012년 영업 전산망 해킹으로 830만 명, 2014년 고객센터 해킹으로 1200만 명의 개인정보가 유출됐다. 있을 수 없는 사태가 반복되는 것은 관련 당국과 기업의 안이한 인식 탓이 크다. 잊을 만하면 신뢰·정보 사회의 토대를 허무는 중대 사태가 재발한다. 기가 찰 노릇이다. 소를 잃었으면 외양간이라도 잘 고쳐야 할 것 아닌가.

24일 보안업계에 따르면 이번 해킹 수법은 중국 기반의 해커 그룹이 주로 쓰는 BPF도어(BPFDoor) 수법이다. 하지만 해킹 배후는 미지수다. 소스프로그램이 인터넷에 공개된 탓이다. 우리 사회의 사이버 보안이 얼마나 취약한 환경에 놓여 있는지 실감하게 된다.

사이버 안보 혹은 보안을 엄중히 다룰 시기가 됐다. 미국의 경우 국가 안보 전략의 핵심으로 취급한다. 일본도 사이버보안기본법을 제정해 통합적으로 대응한다. 우리는 딴판이다. 사이버 대응 체계가 모래알이나 다름없다. 공공은 국정원, 민간은 과학기술정보통신부, 국방은 국방부, 개인정보는 개인정보보호위원회로 분리돼 있다. 분할 체계를 나누는 칸막이가 높아 국가 차원의 통합적 대응은 불가능하다. 더 늦기 전에 ‘사이버 안보 컨트롤타워’를 구축할 길을 찾아야 한다.