SKT 해킹 사태, 유심 보안 특별법으로 이어질까?
이번 SKT 인증 서버 해킹 사태의 기술적 핵심은, 통신사가 가입자에게 비밀번호(인증키)를 전달하는 핵심 매체이자 4G/5G 통신망 보안의 중추인 심(SIM) 카드 관련 정보가 관리되는 중앙 서버 시스템이 외부 공격에 의해 침해되었다는 점이다. 이는 단순 데이터 유출을 넘어, 공격자가 이론적으로 가짜 기지국을 통해 특정 사용자를 표적 삼아 통신 세션을 하이재킹(납치)할 가능성을 연다. 결과적으로 ARS 인증 전화나 금융 거래용 SMS 문자 메시지를 중간에서 탈취하거나, 통화 내용을 도청하고, 스미싱/피싱 공격의 정확도를 높이는 등 심각한 보안 위협으로 직결될 수 있다.
이를 방지하기 위한 방법으로 거론된 심 카드 PIN (비밀번호) 설정은, 카드 자체의 물리적 도난/분실 시 무단 사용을 막는 데는 유효하나, 서버 단에서 인증 정보 자체가 유출되었을 가능성에는 대응하지 못한다. 따라서 유출된 인증 정보를 폐기하고 새로운 보안키를 할당받는 유일한 방법은 심 카드를 교체(물리적 교체 또는 eSIM 재발급)하는 것이다.
아래 ColorScale 유튜브 채널의 영상은 SKT의 중앙 서버 해킹이 사용자들에게 어떠한 보안 위협을 주는지에 대해 가장 정확하게 설명하니 세부적인 내용에 관심있는 독자라면 시청을 권한다.
ColorScale 유튜브
우선 SKT의 초기 대응은 매우 미흡했고, 기술적인 내용에 대해 무지한 대다수의 고객들을 사실상 기만하는 내용의 사과문/안내문을 배포했기에 매우 중대한 문제라고 할 수 있다. 사태의 심각성을 인지한 정부와 국회는 유영상 대표이사를 청문회에 소환한 뒤 미흡한 대응임을 인정하고 피해를 예방하기 위해 전사적인 노력을 쏟을것을 주문했다. 유영상 대표이사는 해당 청문회에서 "통신 역사상 최악 해킹에 동의"한다는 입장을 밝혔다. 이후 SKT는 신규 가입을 잠정 중단했고, 유상임 과학기술정보통신부 장관은 KISA(한국인터넷진흥원) 인터넷침해대응센터를 방문해 "SKT 사고 계기로 정보보호 체계 전면 재검토"해야 한다고 주문했다.
이처럼 가입자 보안에 핵심으로 작용하는 유심 정보가 전부 유출 되었다고 판단할 수 있는 근거는 데이터가 평문으로 저장되어있기 때문이다. 이론적으로, 서버가 해킹되더라도 서버에 저장된 데이터가 높은 수준으로 암호화 되어있다면 정보 그 자체는 유출되지 않았을 가능성이 높은데, 전부 평문(텍스트)으로 저장된 것은 SKT의 허술한 정보보안체계와 문화를 방증하는것이다.
‘법에 없어서’ 유심 정보 암호화 안한 SKT…”반성한다”(종합2보)
류정환 SK텔레콤 부사장은 30일 서울 여의도 국회 과학기술정보방송통신위원회(과방위)에서 "네트워크 쪽은 암호화돼 있지 않은 부분이 많다"며 "법적 사항도 그랬는데, 저희도 굉장히 많이 반성하고 있고 암호화를 진행하고 있다"고 말했다.
위 기사에 따르면 류정환 부사장은 그동안 법적으로 정해진 의무사항이 없었기 때문에 민감한 데이터를 암호화하지 않았다는 취지로 답변을 했는데, 이를 읽자마자 나의 머릿속에 떠오른 생각은 "이러다 유심 보안 특별법이 발의되지 않으려나"는 생각이었다.
우리나라 법 체계에서 필자가 가장 문제의식을 지니고 있는 부분은 바로 국민들과 입법자, 그리고 집행자들까지 모두 법을 '문자 그대로 해석'하려는 경향이 있다는 점이다. 법은 사회가 정상적으로 기능하기 위해 개인과 이들이 소속되어 있는 집단에게 일정한 방식대로 행동하는것을 유도하게끔 설계된다. 따라서 시간이 지나고 사회가 발전함에 따라 법은 같이 변화하는 특성을 가지고 있고, 절대적인 옳고 그름을 판단하는 도구가 아니다. 문제는 대부분의 사람들이 법을 옳고 그름을 판단할 수 있는 매뉴얼처럼 취급 한다는것에 있다.
법이 문자 그대로 반영되는 명백한 매뉴얼이 되어버리면 법전에서 명확하게 정의되지 않은 행동들로 사회적으로 손해를 끼치는 무리들에게 디메리트를 줄 수 있는 근거를 상실하게 되며, 이미 모두 손해를 본 뒤에나 개정이 되는 이른바 '소 잃고 외양간 고치기' 도구가 되어버린다.
SKT 서버 해킹 사태의 본질은 최근 수년간 회사가 보안에 대한 투자를 줄인것도, 임직원들의 허술한 보안의식도, 유심 정보를 필수적으로 암호화하고 접근하기 어렵도록 설계할 것을 구체적으로 명시한 법의 부재도 아니다. 기업이 고객에게 중대한 피해를 입혔을 때 그 이상의 책임을 지게하는 제도와 이에대한 근거를 제공하는 법 체계가 없기 때문이다.
모든 제도와 구조에는 장단점이 있지만, 사회에서 '신뢰'라는 자본은 필수적으로 이용된다. 나는 신뢰가 충분한 사회일수록 거래에서 생기는 마찰이 줄어들며, 따라서 발전할 수 있는 원동력이 된다고 믿는다. 신뢰는 믿음의 일종이기 때문에 이를 훼손시키는 사람과 조직에 강력한 디메리트를 주는 구조만이 이런 어처구니 없는 해킹 사태를 예방할 동기를 부여할 수 있다.
0
필담이 없어요.
첫 필담을 남겨보세요.- NEW경제배당수익률 9% BDC와 6% 캐나다 은행 : 로우리스크 미들리턴의 대표주자안녕하세요, 카레라입니다.오늘은 배당주 2종을 짧고 명쾌하게 찔러볼 겁니다. 주인공은 바로 Ares Capital(ARCC)와 Bank of Nova Scotia(BNS)입니다. 둘 다 시장에서 로우리스크 미들리턴의 표본이나 다름없는데, 궁금하시죠?이 두 종목을 왜 굳이 같이 묶어서 보냐고요? 둘 다 배당 피라미드 전략에서 제일 밑단, 즉 인컴 투자자들이 기본으로 깔고 가야 하는 진영을 대표하기 때문입니다. ARCC는 미국식 BDC이고 BNS는 캐나다 시중은행입니다.그만큼 안정성과 배당 내구성 그리고 현금흐름 관리에 집착하는 기업들이죠. ARCC와 BNS의 안정성이 과연 어느 정도인지 함께 살펴보도록 하겠습니다.1. Ares Capital(ARCC)와 Bank of Nova Scotia(BNS) 소개ARCC는 미국식 BDC. 은행에서 대출받기 힘든 중소~중견기업에 직접 돈 빌려주고 이자랑 수수료로 굴러가는 투자회사ARCC가 대출해주는 방식은 선순위 담보대출, 메자닌 대출, 때로는 구고건・1011
- NEW경제사모펀드의 자금 수요, 공급을 한참 웃돌다Private Equity’s Fundraising Demands Far Outstrip SupplyInstitutional Investor지의 Michell Celarier는:베인앤컴퍼니(Bain & Co.)에 따르면 현재 약 18,000개의 사모자본 펀드가 자금을 모집 중이며, 그 목표 금액은 총 3.3조 달러에 달한다. 문제는, 일반운용사(GP)들이 3달러를 요청할 때 투자자들이 실제로 배정할 수 있는 자금은 1달러에 불과하다는 점이다. 베인은 이를 “수요 공급의 불균형 문제”라고 표현했다.기존 펀드들로부터의 현금 분배 부족 또한 상황을 악화시키면서, 일부 투자자들이 자신들의 투자금에 손실(헤어컷)을 감수하는 데까지 이르고 있다. 베인에 따르면, “LP(유한책임출자자)들은 점점 더 지분 일부 매각이나 소수 지분 매각 방식에 만족하지 못하고 있으며, 시장 상황이 어려움에도 불구하고 완전한 회수를 요구하고 있다.” 실제로 ILPA(기관 유한출자자 협회)가 진행한 웨비나 설문조사에서어웨어・3055
- 멤버십 전용NEW경제배당수익률 9.2% : 글로벌 화학 대기업 LYB 집중 해부안녕하세요, 카레라입니다.화학 업종이 몇 년째 안 좋은 퍼포먼스를 보여주고 있지만 코로나-19 이후 오히려 공격적으로 배당을 늘려서 지금은 연 9%가 넘는 배당을 분기마다 주는 화학 대기업이 있다?오늘 소개할 종목은 바로 LyondellBasell Industries(LYB)입니다. 이 친구는 배당만큼은 이를 빠득빠득 갈면서 잘 주는 편입니다. 최근 몇 년간 분기배당을 계속 늘렸고 지금은 1주에 1.37달러씩 줍니다. 주가가 대략 60달러 언저리라 현 시점 배당수익률이 9.1%가 넘습니다. 화학 업종이라 경기 사이클을 상당히 타서 주가 등락이 제법 크긴 한데 싸게 담아두고 배당으로 수익률을 버티다 보면 사이클 반등 타이밍에 이득을 볼 수 있는 구조입니다.LYB가 어떤 기업이고 왜 이렇게 배당을 세게 주는지, 그리고 앞으로도 계속 믿고 들고갈 만한지 확실히 뜯어보도록 하겠습니다.고건・70241
