SKT “가입자 2500만명 정보 유출 가능성 대비”

[시사저널e=최다은 기자] 유영상 SK텔레콤 대표가 SKT 유심정보 해킹 사건으로 SKT 망 사용(알뜰폰 포함) 전 가입자 2500만명의 정보가 유출될 가능성이 있고, 이에 대비하고 있다고 밝혔다. SKT 네트워크 장비 속 데이터 암호화 안 된 것이 문제였다고 강조했다. 

1일 업계에 따르면 앞서 지난 30일 국회 과학기술정보방송통신위원회는 SK텔레콤 유심 해킹 사태를 다루는 청문회에 최태원 SK그룹 회장을 증인으로 채택했다. 또 최 회장을 증인으로 추가해 출석을 요구하는 안건을 의결했다. 

과학기술정보방송통신위원회가 연 ‘YTN 등 방송통신 분야 청문회’에 증인으로 출석한 유영상 SK텔레콤 대표는 최수진 국민의힘 의원이 전체 가입자 정보 유출 가능성을 묻자 “최악의 경우 그럴 수 있다고 가정하고 준비하는 중”이라고 말했다. 이에 최 의원은 “전체 가입자에 대한 보상을 전제하에 대책을 수립해야 한다”고 말했다. 

유 대표에 따르면 SKT 해킹 사건에 대해 최초 보고받은 시점은 지난 20일 오전 8시경이다. 유 대표는 “지난 20일 오후 2시 (경영진) 전체 회의를 할 때 해킹에 대해 늦었지만 바로 신고하라고 지시했다”고 밝혔다. 이날 청문회에서는 SK텔레콤이 기업 규모에 비해 정보보호 투자가 부족하다는 질타가 지속됐다. 이준석 개혁신당 의원의 해킹 공격받은 장비의 암호화 여부를 질의하기도 했다. 

이에 류정환 SK텔레콤 부사장은 “마케팅 쪽은 암호화가 거의 다 돼 있다고 보지만, 네트워크 쪽은 돼 있지 않은 부분이 많아 굉장히 반성한다”고 답했다. 이어 “(데이터) 인증을 할 때는 암호화를 하지만 데이터로 저장돼있는 상태에서는 암호화가 안된 것이 문제였다”고 회사 측의 잘못을 인정했다.

류 부사장의 답변에 대해 이준석 의원은 “SK텔레콤이 30년 가까이 통신 사업을 하면서 이런 부분의 보안을 챙기지 않았다는 것은 굉장히 위험한 일”이라고 말했다.

이해민 조국혁신당 의원은 통신 3사의 지난해 정보보호 투자액을 들어 SK텔레콤이 600억원대로 통신 3사 중 가장 낮은 점과 올해 정보보호 임원 회의를 한 번도 열지 않은 점을 지적했다. 

유 대표는 이번 해킹에서 사용된 것으로 파악된 BPF도어(BPFDoor) 공격이 지난해 국내 통신사에 감행됐다는 점과 관련해 “보고받지 못했다, 송구하다”고 반성했다. 이어 “SK텔레콤뿐 아니라 자회사 SK브로드밴드의 정보보호 투자 규모를 합하면 800억원 수준”이라며 이해민 의원의 지적에 해명하기도 했다. 

SKT 유심 해킹 사건이 촉발된 이후 경찰은 전담수사팀을 마련하고 정식 수사에 착수했다. SKT 유심 정보 해킹 사건의 경우 지난 29일까지는 입건 전 조사(내사) 단계였는데 30일부터 공식적인 수사 체제로 전환한 것이다. 경찰에 따르면 사이버수사과장을 팀장으로 22명 규모의 전담수사팀을 확대 편성한 것으로 알려졌다. 

앞서 SK텔레콤은 이달 19일 오후 11시40분경 해커에 의한 악성 코드로 이용자 유심 관련 일부 정보가 유출된 정황을 확인했다. 이번 해킹 사고로 SK텔레콤의 중앙서버 ‘홈가입자서버(HSS)’ 등 서버 3종에서 유심(USIM) 정보 25종이 탈취된 것으로 파악됐다. 유출된 정보에는 가입자 전화번호와 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종이 포함됐다. 

국회 과학기술정보방송통신위원회 위원장인 최민희 의원(더불어민주당)이 SK텔레콤에서 받은 자료에 따르면 SK텔레콤 측이 확인한 비정상적 데이터 이동 양은 9.7GB 정도다. 이를 문서 파일로 환산하면 300쪽 분량의 책 9000권(약 270만쪽) 수준이다.

한편 1일 오전 국회에서 열린 비상대책위원회의에서 권영세 국민의힘 비상대책위원장은 SK텔레콤 유심(USIM) 해킹 사태와 관련해 “이 정도로 큰 사고를 내고 이 정도로 부실하게 하는 부실하게 대응하는 기업이라면 당장 문을 닫아도 이상하지 않다”며 “우리 당은 국민을 대변해 신속한 대응 조치를 강력하게 촉구한다”고 밝히기도 했다.