SKT 해킹사고, 추가 피해 경고음… 유심 복제·사칭 인증 우려

SK텔레콤(SKT)이 일부 고객의 유심(USIM) 관련 정보가 외부로 유출됐을 가능성을 공식화하면서, 사고 범위와 성격에 따라 대규모 개인정보 유출 사태로 확산될 수 있다는 우려가 커지고 있다.

SKT 측은 지난 19일 밤 악성코드 감염으로 유심 관련 일부 정보가 유출된 정황을 포착했다고 22일 밝혔다. 회사는 지난 20일 한국인터넷진흥원(KISA)에 사고 사실을 신고했고, 22일에는 개인정보보호위원회에도 이를 알렸다. 피해 확산 방지를 위해 유심보호서비스도 무료로 전환해 제공하고 있다.

회사는 "유출 가능성을 인지한 직후 악성코드를 즉시 삭제하고, 해킹이 의심되는 장비도 격리 조치했다"며 "현재까지 해당 정보가 실제로 악용된 사례는 확인되지 않았다"라고 밝혔다. 아울러 △전체 시스템 전수 조사 △불법 유심 기변 및 비정상 인증 시도 차단 강화 △피해 징후 발견 시 즉각적인 이용 정지 및 안내 조치 등을 시행하고 있다고 덧붙였다.

그러나 해킹이 의심되는 장비가 일반 단말기인지, 유심 발급과 인증을 담당하는 내부 서버인지에 대한 구체적인 설명은 없다. 유출 항목 및 규모도 현재까지 확인되지 않고 있다.

대규모 정보 유출 및 2차 피해 우려

업계에서는 유심 내 저장된 고유 인증값, 즉 IMSI(가입자 식별번호)나 Ki(인증키) 등이 유출됐을 경우, 직접적인 피해로 이어질 수 있다는 우려의 목소리를 내고 있다. 이러한 정보는 유심 복제나 통신사 인증 우회를 통해 금융·공공서비스 접근을 가능하게 할 수 있기 때문이다.

통신사 인증은 PASS 앱을 통한 금융 서비스 접근, 온라인 계좌 개설, 공공기관 로그인, 심지어는 본인 명의의 전자서명 발급에도 활용된다. 이처럼 유심 기반 인증이 생활 전반에 깊숙이 연동된 만큼, 이번 사고가 단순 정보 유출을 넘어 대규모 피해로 확산될 수 있다는 분석도 나오고 있다.

특히 유심 기반 인증은 시스템상 이상 징후가 즉시 드러나기 어려워, 실제 피해가 사고 발생 후 한참 지난 시점에야 수면 위로 드러날 수 있다는 지적도 나온다.

유심 정보가 유출되면 사전 경고 없이 사칭 로그인, 이중 인증 우회, 명의도용 등이 가능하고, 공격자는 비밀번호나 생체 인증 없이도 피해자 인증을 대체할 수 있다. 통신사 역시 실시간 탐지가 어렵기 때문에 피해자가 뒤늦게 문제를 인식하는 경우도 적지 않다.

이에 더해 유심에는 인증 정보 외에도 단말기 고유번호(IMEI), 접속 이력, 기기 교체 기록 등 다양한 메타데이터가 함께 저장돼 있다는 점도 우려를 더하고 있다. 이 같은 정보는 단순한 사용자 인증을 넘어 개인의 단말 사용 패턴과 이동 경로, 장비 변경 이력까지 유추할 수 있는 민감 정보로, 함께 노출될 경우 단순 유심 복제를 넘어 실제 사용자에 대한 추적이나 타깃형 공격으로 악용될 가능성도 제기된다.

특히 통신 기반 인증은 계좌 개설, 카드 발급, 보험 가입 등 실물 금융 서비스와도 연동되어 있어, 명의도용을 통한 실질적인 경제 피해로 직결될 수 있다. 보이스피싱이나 대포폰 개설의 수단으로 악용될 경우, 2차·3차 피해자가 추가로 발생할 수 있다는 우려도 나온다.

이 같은 우려에 SKT 측은 "KISA 신고와 함께 조사가 진행 중이므로 세부적인 분석을 진행할 예정이며, 현시점에서 피해 장비 정보를 공개하기는 어렵다"라고 답했다.

정부, 비상대응 돌입… 역대 최대 과징금으로 이어질까

정부도 이번 사고를 중대한 정보보호 사안으로 판단하고 긴급 대응에 착수했다. 과학기술정보통신부와 한국인터넷진흥원은 SKT로부터 20일 오후 4시46분 침해사고 신고를 접수한 뒤, 이튿날인 21일 오후 2시10분 사고 관련 자료 보존과 제출을 요구했다. 같은 날 밤 8시부터는 KISA 소속 보안 전문가들을 현장에 파견해 시스템 진단과 기술 지원을 진행 중이다.

과기정통부는 사고의 성격과 파급력을 고려해 정보보호네트워크정책관을 단장으로 한 비상대책반을 구성하고, 필요시 민관합동조사단을 꾸려 심층 원인 분석과 재발 방지 대책 마련에 나서겠다는 방침이다.

사고가 실제 개인정보 유출로 이어졌다고 판단될 경우, SKT는 사상 최대 수준의 과징금 처분을 받을 가능성이 높다. 2023년 개정된 개인정보보호법은 중대한 유출 사고에 대해 기업 연 매출의 최대 3%까지 과징금을 부과할 수 있도록 하고 있다.

SKT의 2024년 단독 기준 매출 1조2774억만원을 적용하면 최대 과징금은 약 383억원에 달한다. 이는 역대 최대였던 2023년 골프존의 75억원을 크게 웃도는 규모다.

아울러 SKT는 ISMS-P 인증 기업으로 이번 사고가 기준 위반으로 판단될 경우 인증 취소나 유효기간 단축 등의 제재를 받을 수 있다. ISMS-P는 고객정보 처리 기업에 대해 기술적·관리적 보호조치의 적절성을 평가하는 국가 인증으로, 해당 기준 미이행이 확인되면 공공 조달 제한 등 실질적인 영업상 불이익으로도 이어질 수 있다.

장하민 alvin_jang@ngetnews.com