SKT 해킹 사태, 유심 보안 특별법으로 이어질까?

이번 SKT 인증 서버 해킹 사태의 기술적 핵심은, 통신사가 가입자에게 비밀번호(인증키)를 전달하는 핵심 매체이자 4G/5G 통신망 보안의 중추인 심(SIM) 카드 관련 정보가 관리되는 중앙 서버 시스템이 외부 공격에 의해 침해되었다는 점이다. 이는 단순 데이터 유출을 넘어, 공격자가 이론적으로 가짜 기지국을 통해 특정 사용자를 표적 삼아 통신 세션을 하이재킹(납치)할 가능성을 연다. 결과적으로 ARS 인증 전화나 금융 거래용 SMS 문자 메시지를 중간에서 탈취하거나, 통화 내용을 도청하고, 스미싱/피싱 공격의 정확도를 높이는 등 심각한 보안 위협으로 직결될 수 있다.

이를 방지하기 위한 방법으로 거론된 심 카드 PIN (비밀번호) 설정은, 카드 자체의 물리적 도난/분실 시 무단 사용을 막는 데는 유효하나, 서버 단에서 인증 정보 자체가 유출되었을 가능성에는 대응하지 못한다. 따라서 유출된 인증 정보를 폐기하고 새로운 보안키를 할당받는 유일한 방법은 심 카드를 교체(물리적 교체 또는 eSIM 재발급)하는 것이다.

아래 ColorScale 유튜브 채널의 영상은 SKT의 중앙 서버 해킹이 사용자들에게 어떠한 보안 위협을 주는지에 대해 가장 정확하게 설명하니 세부적인 내용에 관심있는 독자라면 시청을 권한다.

ColorScale 유튜브

우선 SKT의 초기 대응은 매우 미흡했고, 기술적인 내용에 대해 무지한 대다수의 고객들을 사실상 기만하는 내용의 사과문/안내문을 배포했기에 매우 중대한 문제라고 할 수 있다. 사태의 심각성을 인지한 정부와 국회는 유영상 대표이사를 청문회에 소환한 뒤 미흡한 대응임을 인정하고 피해를 예방하기 위해 전사적인 노력을 쏟을것을 주문했다. 유영상 대표이사는 해당 청문회에서 "통신 역사상 최악 해킹에 동의"한다는 입장을 밝혔다. 이후 SKT는 신규 가입을 잠정 중단했고, 유상임 과학기술정보통신부 장관은 KISA(한국인터넷진흥원) 인터넷침해대응센터를 방문해 "SKT 사고 계기로 정보보호 체계 전면 재검토"해야 한다고 주문했다.

이처럼 가입자 보안에 핵심으로 작용하는 유심 정보가 전부 유출 되었다고 판단할 수 있는 근거는 데이터가 평문으로 저장되어있기 때문이다. 이론적으로, 서버가 해킹되더라도 서버에 저장된 데이터가 높은 수준으로 암호화 되어있다면 정보 그 자체는 유출되지 않았을 가능성이 높은데, 전부 평문(텍스트)으로 저장된 것은 SKT의 허술한 정보보안체계와 문화를 방증하는것이다.

‘법에 없어서’ 유심 정보 암호화 안한 SKT…”반성한다”(종합2보)

류정환 SK텔레콤 부사장은 30일 서울 여의도 국회 과학기술정보방송통신위원회(과방위)에서 "네트워크 쪽은 암호화돼 있지 않은 부분이 많다"며 "법적 사항도 그랬는데, 저희도 굉장히 많이 반성하고 있고 암호화를 진행하고 있다"고 말했다.

위 기사에 따르면 류정환 부사장은 그동안 법적으로 정해진 의무사항이 없었기 때문에 민감한 데이터를 암호화하지 않았다는 취지로 답변을 했는데, 이를 읽자마자 나의 머릿속에 떠오른 생각은 "이러다 유심 보안 특별법이 발의되지 않으려나"는 생각이었다.

우리나라 법 체계에서 필자가 가장 문제의식을 지니고 있는 부분은 바로 국민들과 입법자, 그리고 집행자들까지 모두 법을 '문자 그대로 해석'하려는 경향이 있다는 점이다. 법은 사회가 정상적으로 기능하기 위해 개인과 이들이 소속되어 있는 집단에게 일정한 방식대로 행동하는것을 유도하게끔 설계된다. 따라서 시간이 지나고 사회가 발전함에 따라 법은 같이 변화하는 특성을 가지고 있고, 절대적인 옳고 그름을 판단하는 도구가 아니다. 문제는 대부분의 사람들이 법을 옳고 그름을 판단할 수 있는 매뉴얼처럼 취급 한다는것에 있다.

법이 문자 그대로 반영되는 명백한 매뉴얼이 되어버리면 법전에서 명확하게 정의되지 않은 행동들로 사회적으로 손해를 끼치는 무리들에게 디메리트를 줄 수 있는 근거를 상실하게 되며, 이미 모두 손해를 본 뒤에나 개정이 되는 이른바 '소 잃고 외양간 고치기' 도구가 되어버린다.

SKT 서버 해킹 사태의 본질은 최근 수년간 회사가 보안에 대한 투자를 줄인것도, 임직원들의 허술한 보안의식도, 유심 정보를 필수적으로 암호화하고 접근하기 어렵도록 설계할 것을 구체적으로 명시한 법의 부재도 아니다. 기업이 고객에게 중대한 피해를 입혔을 때 그 이상의 책임을 지게하는 제도와 이에대한 근거를 제공하는 법 체계가 없기 때문이다.

모든 제도와 구조에는 장단점이 있지만, 사회에서 '신뢰'라는 자본은 필수적으로 이용된다. 나는 신뢰가 충분한 사회일수록 거래에서 생기는 마찰이 줄어들며, 따라서 발전할 수 있는 원동력이 된다고 믿는다. 신뢰는 믿음의 일종이기 때문에 이를 훼손시키는 사람과 조직에 강력한 디메리트를 주는 구조만이 이런 어처구니 없는 해킹 사태를 예방할 동기를 부여할 수 있다.