“통신 인프라 보안 경보”…SK텔레콤, 해킹 은폐·유심관리 부실 드러나

통신 기업의 정보보호 관리가 산업 전반의 안전망으로 떠오르는 가운데, SK텔레콤의 대규모 보안 침해사고가 통신망 신뢰성에 경종을 울리고 있다. SK텔레콤은 2022년 악성코드 감염 서버를 인지하고도 정부에 즉각 신고하지 않았으며, 계정 관리와 유심 인증키(Ki) 암호화 등 정보보호의 기본 역시 지키지 않은 것으로 확인됐다. 총 28대 서버가 해킹당해 전화번호·IMSI 등 약 2696만 건에 이르는 유심정보가 유출됐고, 계정정보와 통신기록까지 평문(비암호화) 상태로 저장된 서버가 포함된 사실이 드러났다. 업계는 이번 사태를 ‘국내 통신보안 패러다임의 분기점’으로 주목하고 있다.

조사 결과, SK텔레콤은 BPF도어 계열 등 33종의 악성코드에 감염된 서버를 저감조치하며도 정보통신망법의 사고 보고 의무를 따르지 않았다. 관리계정의 비밀번호를 평문으로 타 서버에 저장하고, 세계이동통신사업자협회(GSMA) 권고와 달리 유심 인증키를 암호화하지 않아 추후 유심 복제 피해 위험성도 높였다. 경쟁 통신사인 KT와 LG유플러스는 이미 관련 암호화 조치를 도입했던 반면, SK텔레콤만 기준을 미달한 셈이다.

기술적으로 보안관리가 부실했던 점도 문제로 꼽힌다. 서버 접근자 로그를 충분히 보관하지 않아, 실제 해킹 경로와 정보유출 경위를 정확히 규명하는 데 한계가 컸다. 과학기술정보통신부는 포렌식 분석에서 2대의 서버가 충분히 복구·분석될 수 없도록 임의처분된 점도 짚었다. 공급망 보안 역시 취약했다. SK텔레콤은 협력사 소프트웨어를 충분히 심사하지 않고 88대 서버에 설치, 이 과정에서 내재된 악성코드가 유출 통로가 된 사실이 확인됐다.

시장 측면에선 개인정보 유출 규모와 범위가 역대 최대 수준임에도 신고 지연·자료보존 미이행 등 비상대응의 기본까지 위반한 점이 충격을 주고 있다. 특히 유심정보 유출로 인해 향후 개인정보 부정 사용, 통화 내역 노출 가능성 등 2차 피해 우려도 높아졌다.

글로벌 사례와 비교해도 SK텔레콤의 보안 조치 미비는 이례적이다. 미국 등 통신기업들은 계정정보, 인증키 관리와 사고 즉시신고가 엄격히 준수된다. 유럽연합(EU) 역시 GDPR 등 탄탄한 데이터보호 규제가 작동 중이다. 전문가들은 “국내 통신사가 글로벌 수준의 보안 및 보고체계 도입이 시급하다”고 진단한다.

정책적으로도 파장이 크다. SK텔레콤은 정보보호 최고책임자(CISO) 범위를 자산의 절반에만 한정하고, 정보보호 투자(100만 명당 인력 15명, 투자액 37억9000만 원)도 KT, LG유플러스 대비 적었던 것으로 분석됐다. 과기정통부는 정보통신망법 위반에 따른 과태료 부과와 별도 수사의뢰를 병행한다는 방침이다.

정부는 이번 사고를 계기로 민간정보보호 투자 확대, 공급망 보안 내재화, CISO 직속 조직 재편 등 법·제도 개편에 나선다. 국회 과방위와의 논의를 거쳐 통신망 보호 별도법, 민간 사이버위기 대응 강화를 추진할 계획이다. 정보관리 거버넌스 취약, 로그보존 부족, 기본 보안점검 미흡까지 총체적 재정비가 요구되고 있다.

전문가들은 “대형 통신사가 기본적 정보보호 규정조차 위반한 점은 통신·네트워크 인프라 안전의 심각한 레드 플래그”라며 “디지털 전환, AI 융합 등이 가속화될수록 보안투자와 운영 혁신이 반드시 병행돼야 한다”고 언급한다. 산업계는 이번 사고가 실제 관리·투자 의사결정에 실질적 변화로 이어질 수 있을지 주목하고 있다.