유심 정보 암호화 안 한 SKT.."보안 규제 정비 시급"

SK텔레콤 유심(USIM) 해킹에 따른 공포가 일파만파로 확산하는 가운데 전문가 사이에서는 보안 규제를 정비하고 정보보호 분야 투자를 늘려야 한다는 지적이 나옵니다.

류정환 SK텔레콤 부사장은 지난달 30일 국회 과학기술정보방송통신위원회(과방위)에 출석해 "네트워크 쪽은 암호화가 되어있지 않은 부분이 많다"며 악성코드 침투 당시 유심 데이터가 암호화되어 있지 않았다고 시인했습니다.

류 부사장은 "법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다"며 유심 정보 암호화 관련 내용이 법령에 명시되어 있지 않았다는 내용도 언급했습니다.

현행법상 USIM 칩에 담긴 가입자 식별번호(IMSI), 가입자 인증키 등은 의무 암호화 대상이 아닙니다.

개인정보보호위원회 고시 '개인정보의 안전성 확보 조치 기준'에 따르면 개인정보처리자가 암호화해 보관해야 할 정보로는 △ 주민등록번호 △ 여권번호 △ 운전면허번호 △ 외국인등록번호 △ 신용카드번호 △ 계좌번호 △ 생체인식정보 등 7가지만 명시돼 있습니다.

문제는 정보기술(IT) 발달로 이동통신사, 플랫폼 기업들이 서비스 제공 과정에서 수집하는 정보의 폭이 넓어지고 있고, 이에 따라 해커들의 '먹잇감' 또한 늘어나고 있다는 겁니다.

지난해 초 유출된 중국 보안업체 아이순(iSoon)의 내부 문건에 따르면 이 기업은 해킹을 통해 방대한 각국 통신 기업과 정부 기관의 내부 데이터를 수집해 왔습니다.

아이순이 훔친 데이터 목록 중에는 3테라바이트(TB)가량의 LG유플러스 고객 통화 기록이 포함된 것으로 나타나 파문이 일었습니다.

과기정통부와 국정원, 한국인터넷진흥원(KISA) 등은 당시 실제 해킹이 있었는지, 구체적으로 어떤 정보가 유출됐는지 등 해킹 경위에 대한 조사에 들어갔습니다.

다만 통신사 서버에 저장된 USIM 정보의 경우 다른 개인정보와 달리 수시로 참조가 이뤄지는 정보인 만큼 현실적으로 암호화 적용이 어렵다는 반론도 나옵니다.

류 부사장은 지난 2일 해킹 사태 대응 관련 브리핑에서 "USIM 정보가 담긴 홈가입자서버(HSS)는 암호화를 하지 않는 것이 기본"이라며 "매번 통화할 때마다 암호화된 정보의 암호를 풀었다가 다시 암호화하려면 레이턴시(지연시간)가 발생하기 때문"이라고 설명했습니다.

그러면서 "암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다"고 덧붙였습니다.

염흥열 순천향대 정보보호학과 교수는 "네트워크 단에서 실시간 처리가 중요한 만큼 암호화가 어려운 점은 이해할 수 있지만, 요즘은 컴퓨팅 성능이 높아지는 만큼 일정 부분 적용이 가능할 것으로 보인다"고 설명했습니다.

그러면서 "정보통신기반보호법 또는 시행령 개정을 통해 이동통신사 서버를 정부의 보안 분석 대상으로 편입할 필요도 있다"고 덧붙였습니다.

더불어민주당 최민희 의원이 과기정통부로부터 제출받은 자료를 보면, 해킹 공격을 받은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템 등은 국가·사회적으로 보호가 필요한 주요 정보통신 기반 시설로 지정되지 않았습니다.

이와 관련된 질의에 과기정통부 관계자는 "이번 SK텔레콤 사건에 대한 정확한 조사와 대책 마련 과정에서 서버 등 시설 역시 정보통신기반보호법상 주요 기반 시설로 지정하는 방안을 검토할 수 있을 것"이라고 말했습니다.

통신사들이 이번 사태를 계기로 정보보호에 투자하는 금액을 늘려야 한다는 지적도 나오고 있습니다.

SK텔레콤이 지난해 정보보호 분야에 투자한 금액은 본사 600억 원, 자회사 SK브로드밴드 267억 원 등 총 867억 원으로 나타나 경쟁사인 KT(1,218억 원)보다 적었습니다.

작년 아이폰16 홍보 모델로 그룹 뉴진스를 발탁해 업계에서 화제가 됐던 SK텔레콤은 같은 해 별도 기준 광고선전비로 1,367억 원을 집행했습니다.

염흥열 교수는 "각 기업이 최고정보보호책임자(CISO)의 권한과 책임을 중요 경영진 수준으로 격상하고, 이에 걸맞은 투자를 집행해야 한다"며 정부도 기업의 보안 인프라 투자를 정책적으로 지원해야 한다"고 제언했습니다.