역대급 해킹에 역대급 대응…30년 통신 왕좌 무너지나 [스프]

귀에 빡 박히는 이슈 맛집 '귀에 빡!종원'. SBS 최고의 스토리텔러 김종원 기자가 전해드립니다.
유십칩 교체를 받기 위해 SKT 대리점마다 긴 줄이 늘어섰지만 여전히 못 받은 가입자가 더 많습니다. SKT는 교체용 유심은 없다면서도 신규가입용 유심을 따로 저장해 놓다가 소비자 분노를 사기도 했습니다. 정부는 현재 SKT의 신규가입을 중단시킨 상태입니다.

이번 해킹 사태가 이처럼 더욱 심각한 이유는 이번에 SKT가 털린 서버가 HSS라는 가장 민감한 유심 정보를 보관하고 있는 서버이기 때문입니다. 전 세계 보안 전문가들이 '최악'으로 가정했던 상황이 한국의 SKT에서 벌어진 거예요.


'재앙급' 해킹 사건에 대응 방식도 역대 최악
이번에 유출된 유심 정보에 대해서 관심이 쏠리고 있는데 확실해 보이는 건 'IMSI' 값이 유출됐을 거라고 추정되고 있어요. IMSI란 국가 식별코드, 통신사 식별 코드, 사용자 식별 코드가 합쳐져 있는, 비유하자면 신분증에 적힌 주민번호 역할을 하는 번호입니다.

그런가 하면 '유심 인증키(Ki)'라는 게 또 있습니다. 우리가 신분증을 제시했을 때 신분증을 낸 사람이 정말 이 신분증의 주인이 맞는지를 확인해야 되잖아요. 여기에 쓰이는 게 '유심 인증키' 값입니다. 이 두 가지가 매칭이 됐을 때 비로소 통신사의 HSS 서버가 아 이게 이 사람이 맞구나라고 인증을 해주게 되는 겁니다.

그런데 이번에 뚫린 게 이런 복잡한 인증을 담당하는 HSS 서버 그 자체이고 특히 충격적인 게 무려 9.7Gb, 책 270만 쪽 분량의 데이터가 유출된 것으로 보인다는 소식까지 나왔잖아요. 이 정도면 SKT의 유심 인증 시스템 자체를 털어 간 게 아니냐는 말이 나올 정도로 엄청난 양입니다. 

이 정도 양이면 SKT 휴대폰 뿐 아니라 알뜰폰까지도 다 털렸을거란 최악의 시나리오도 나오고 있는 상황, 그러다보니 일각에서는 유심칩을 바꿔도 소용 없다는 얘기도 나오기까지 하는데, 이에 대해서는 정부도 SKT도 유십보호서비스에 가입하고 유심칩을 교체하면 현재로서 피해를 막을 수 있다고 강조하고 있습니다.

혼란이 거듭되면서 SKT의 AI서비스인 ‘에이닷’ 통화 녹음 기능 대한 불안도 나왔습니다. 에이닷은 통화녹취 기능이 없는 아이폰 사용자들에게 큰 호응을 받기도 했었죠.

전통적인 방식의 통화 녹취는 녹음 파일이 내 휴대폰에 저장됩니다. 설사 해커가 내 복제폰을 만든다 하더라도 내 휴대폰에 물리적으로 저장 된 파일까지 가져갈 수는 없습니다. 

그런데 에이닷을 사용해 녹취를 하면 내 녹음파일이 SKT의 서버로 전송 되고 거기서 이를 속기록 같은 텍스트로 변환시킵니다. 그리고는 AI가 이를 요약합니다. 이후 음성파일은 곧바로 삭제가 되지만, 텍스트로 변환된 녹음파일 요약본은 SKT서버에 6개월 간 남아있습니다. SKT는 당초 이 기록 기간을 1년으로 설정하고, 심지어 이 서버에 누가 드나들었는지 기록을 남기는 장치도 해 놓지 않아 개인정보보호위원회로부터 지적을 받기도 했습니다. 현재는 이 녹음 요약본의 보관 기간이 6개월입니다.

그런데 만약 내 폰이 복제되거나, 아니면 심스왑을 당하게 된다면 해커가 내 행세를 하면서 SKT 서버에 저장된 통화 내용을 다운로드 받을 가능성이 있다는 우려가 나오고 있습니다. 다만 이에 대해 SKT는 복제폰이 만들어진다 해도 통화녹음 자료를 가져올 수 없다는 것이 기술진의 의견이라고 전해 왔습니다.

이처럼 사태가 심각하다보니 일각에서는 유심 바꿔도 소용없다는 얘기가 나오지만 유심도 바꾸시고 유심을 바꾸기 전에는 유심 보호 서비스도 가입하실 것을 강력하게 권고합니다. 일단 당장 내 유심 정보를 보호할 수 있는 방법이기도 하고, 무엇보다 향후 발생할 수 있을지도 모르는 SKT와의 법적 공방에 꼭 필요한 과정이기 때문입니다. 

'열 포졸이 도둑 하나 못 잡는다'고 아무리 강조를 해도 뚫릴 수도 있는 게 보안이에요. 이번에 SKT를 해킹한 것으로 알려진 악성 코드가 'BPFDoor'라는 악성 코드로 추정됩니다. 국가기관급 해커들이 사용하는 악성 코드로 잘 알려져 있어요. 게다가 HSS 서버라는 상상도 못 했던 서버가 털렸기 때문에 SKT 안에서 "내부자의 호응도 있었을 것"이라는 얘기까지도 나와요. 이거는 수사를 통해서 밝혀져야 될 부분이겠죠.

"그러면 SKT도 뭐 뾰족한 수가 없었던 건가. 국가 기관급 해커라며" 이렇게 생각이 들 수도 있는데 절대 그렇지 않습니다. 특히 '트렌드마이크로'라는 글로벌 사이버 보안 업체가 있는데 이 보안 회사가 이미 지난해 7월과 12월 두 차례에 걸쳐서 한국의 이동통신사'들'이 'BPFDoor' 악성 코드에 공격을 당했다고 경고한 적이 있습니다. 분명히 SKT도 알고 있었을 가능성이 매우 높습니다.

그럼에도 불구하고 가장 큰 통신사인 SKT만 KT와 LG유플러스와도 다르게 보안에 들어가는 예산 자체를 유일하게 나 홀로 줄였습니다. 가입자 수에 대비해 봐도 KT나 LG유플러스보다 SKT가 보안에 쓰는 돈이 훨씬 적어요.

왜 이런가를 살펴보면 우리나라 통신 시장 이미 과포화 상태죠. 거기다가 통신 3사가 과점을 하고 있어요. 경쟁도 없고 확장을 해 나갈 여력도 없는 시장입니다. 이러다 보니까 통신사들이 전부 AI 같은 신사업 투자를 늘리면서 전통적인 통신 사업에서는 투자를 줄이고 있거든요. 5G 기지국에 대한 투자를 종료하는 것 같은 게 대표적인 행위죠.

특히나 SKT는 '보안 예산'까지도 같이 줄여버린 거예요. 이러다 보니까 아무리 국가기관급 해커가 해킹을 했다는 게 기정사실화가 된다 하더라도 SKT 쉴드를 쳐주기가 사실상 불가능하게 돼 버린 거죠.

그래서 어떻게 해야 되는지에 대한 가이드라인을 찾아봤습니다. 가장 먼저 빠른 통지를 해줘야 되고, 얼마나 위험한지를 구체적으로 설명을 해줘야 되고, 행동 지침을 제공해야 됩니다. 그리고 피해 최소화 조치를 적극적으로 취해야 되고, 취약계층에 대한 지원을 해야 된다. 이렇게 정리를 해 볼 수 있을 것 같아요.

근데 SKT가 이 중에 얼마나 해당이 되나요? 아무것도 제대로 한 게 없죠. 노약자분들이라거나 아무 대책 없이 사각지대에 놓여 있는 분들도 많단 말이에요. 이런 분들을 위해서 고객 보고 대리점 찾아오라고 할 게 아니라 집집마다 유심을 우편으로 보내줘야 되는 거 아니냐, 이런 지적도 나오고 있거든요. 아쉽게도 SKT는 이러한 조치들을 아직까지 제대로 하지 않고 있는 걸로 보입니다.


있으나 마나 한 '과징금'...사업 하기 좋은 여기는 한국
그럼 이런 SKT한테 어떻게 책임을 물어야 될까요? 먼저 국가가 때리는 ①과징금이 있고요. ②소비자에게 배상을 해주는 방안이 있을 겁니다. 

구체적으로 설명하기 위해서 미국 사례를 한번 볼게요. 미국 2~3위를 왔다 갔다 하는 '티모빌'이라는 통신사가 있어요. 여기가 5년간 5번이나 해커에게 (개인정보를) 털렸습니다. 만약 우리나라 통신사가 이랬으면 정말 가루가 되게 까였을 텐데 이렇게 털렸어도 유심 정보는 안 털렸다는 게 중요합니다. 결국 정부로부터 과징금을 맞았는데 우리나라 돈으로 430억 원 정도를 맞았어요. AT&T라는 통신사는 과징금이 더 적었어요. 미국 기업들이 정부가 과징금을 때리면 로비스트 동원해서 협상을 시작을 합니다. 막 깎아요. 그래서 깎인 금액이 이거인 겁니다.

그런데 우리나라랑 한번 비교해 볼까요? KT가 2012년과 2014년 불과 2년 차를 두고 870만 명과 980만 명의 개인 정보가 유출이 된 사고를 겪었어요. 이때 과징금 합쳐서 15억 7천만 원 받았습니다.

LG유플러스는 비교적 최근인 2023년에 30만 건의 개인 정보가 유출됐는데 과징금 68억 원을 받았습니다. 세월이 지나면서 개인 정보에 대한 민감도가 높아지고 솜방망이 처벌에 대한 여론이 안 좋아지면서 그나마 KT보다는 과징금을 더 맞았지만, 솜방망이 처벌이란 비판을 받고 있는 미국의 과징금과 비교해 보면 여전히 싼 게 사실이에요. 

SKT가 경쟁사인 KT보다 덜 쓴 보안 예산이 600억 원이 넘잖아요. LG유플러스 과징금 68억 원 기준으로 보면 과징금을 맞아 봤자 이 아낀 금액의 10분의 1 수준밖에 안 되는 거예요. 이런 상황에서 기업은 뭘 택할까요? 과징금 맞고 말겠죠.

이제 소비자들에게 배상을 해줘야 되는 문제가 남아 있어요. AT&T, 티모빌은 징벌적 배상은 피해 갔습니다. 그러면 징벌적 손해배상을 피해 갔다고 끝났느냐? 아니죠. 미국은 징벌적 손해배상을 피해 가도 '집단 소송'이 남아 있습니다. 집단 소송이란 내가 굳이 참여를 하지 않아도 비슷한 피해를 봤다면 자동으로 전부 소송 대상자가 되는 거예요. 내 개인 정보도 유출이 되는 피해를 입었다면 나도 자동적으로 나중에 보상을 받을 수 있게 되는 겁니다.

티모빌이 공교롭게도 SKT 유심 해킹 사고가 터지기 불과 며칠 전에 개인정보 유출 건으로 인한 보상을 하기 시작했습니다. 개인정보 유출 피해자가 7,600만 명인데 배상액이 3억 5천만 달러로 합의됐습니다. 여기에 별도로 1억 5천만 달러를 보안 설비 강화에 투자하겠다, 소비자 후생이죠. 합쳐서 우리 돈으로 한 7천억 원 정도를 소비자를 위해 쓰는 돈으로 내놓고 나서야 이 사태가 끝날 수 있었습니다.

하지만 우리나라는 KT 유출 사고, 이때 집단 소송에 참여한 사람이 고작 2만 8천 명, 400명 정도밖에 안 됩니다. 전체의 1% 정도도 안 되는 수준이에요. 우리나라 집단 소송은 미국과 같은 집단 소송이 아닙니다. 내가 직접 소송에 참여를 하지 않으면 배상을 받을 수 없습니다. 그나마도 대기업의 배상 책임이 없다는 판결이 많이 나와요. KT는 실제로 두 유출 사건 모두 배상 책임이 없다고 대법원에서 판결이 났거든요. 참여한 사람도 얼마 안 되는데 배상도 안 해줬습니다.

지금 SKT 집단소송 카페가 생겼다고 하죠. (카페) 가입자가 28일 기준 한 8천 명 정도 되는데 이 8천 명이 집단소송을 하면 '이 8천 명만' 손해배상을 받는 거예요. 나머지 (SKT) 가입자들은 전혀 배상받을 길이 없는 겁니다.
 
10만 원, 이걸 기준으로 계산해 보면 이번에 SKT의 배상 금액은 2조 원을 넘어가게 됩니다. 2024년 SKT의 영업이익이 1조 8천억 원이었으니까 번 거 다 토해내야 되는 상황이 되는 거죠. 이러다 보니까 SKT가 우리나라에 미국과 같은 집단소송 제도가 있었다면 이번 일에서 결코 그냥 빠져나갈 수 없었을 것이라는 얘기가 나오는 겁니다. 소비자 입장에서는 굉장히 씁쓸한 거죠.

SKT 내부 교육 자료라고 해서 사진이 유출됐는데 "유심 보호 서비스를 권장하는 쪽으로 교육했다"라고 내부에서 증언이 나오고 있습니다. 유심 바꿔주는 것조차 제대로 되지 않는다는 얘기가 나오는 겁니다.

Q. 이것도 대책이라고 나왔을 때부터 어이가 없었던 게 유심 보호 서비스를 꼭 가입해야만 보호해 주는 게 아니라 응당 다 해줘야 되는 거 아닌가, 처음 (가입했을 때)부터.

심지어 지금 SKT가 '법꾸라지' 시전을 하려는 게 아니냐는 의심이 나오고 있어요. 유심 보호 서비스에 가입하라는 공지를 보면 이 한 줄이 딱 눈에 띕니다. '유심 보호 서비스 가입자에 대한 유심 불법 복제 피해 사례가 발생할 시 SKT가 100% 책임지겠습니다.' '가입자에 한해'라고 읽혀질 수 있겠죠. 즉 지금 유심 보호 서비스 가입을 안 해놓은 사람은 나중에 설사 이걸로 문제가 생긴다 해도 책임지지 않겠다고 읽힐 수 있는 대목이에요.

그래서 제가 유심칩도 바꾸고 유심칩 당장 못 바꾸면 유심 보호 서비스라도 가입해라, 이렇게 강하게 말씀드린 겁니다. 나중에 혹시 SKT가 '법꾸라지' 시전을 한다면 그때 나는 당신들이 하라는 대로 다 했음에도 피해를 입었다고 증명해야 하니까요.

게다가 유출된 유심 정보가 개인 정보로 인정을 받지 못할 수도 있다는 얘기를 하거든요. 무슨 소리냐? 우리나라 개인정보보호법이 2023년에 개정됐는데 그 이전에는 과징금이 잘못한 해당 행위로 벌어들인 돈의 3%였었어요. 그거를 전체 매출의 3%까지 때릴 수 있다고 2023년에 개정이 됐습니다.

그런데 SKT의 전년도 매출액이 17조 원이었어요. 여기에 3%면 우리나라 법으로도 5100억 원까지 부과가 가능합니다. 근데 이렇게 안 하죠. 그럼에도 불구하고 이번 사태가 너무 크다 보니까 SKT 입장에서 불안하잖아요. 그러다 보니까 SKT가 사건 터진 초기부터 계속해서 강조하는 게 이름이나 주민번호, 집 주소는 안 털렸다고 강조하거든요. 이래버리면 개인정보보호법으로도 처벌할 수 없는 상황이 올 수도 있다는 얘기가 나오고 있는 거죠.

Q. 유심 정보가 개인 정보가 아니라고 확실히 또 규정한 것도 없잖아요.

이런 일 자체가 처음이기 때문에 유심 정보를 개인 정보로 볼 것이냐, 아마 이게 향후 법정 공방으로 가게 될 경우에 또 하나의 법적 관건이 될 것으로 보이는 부분입니다. 앞으로 얼마나 더 피해가 커질지 모르는 상황이기 때문에 이제부터는 이런 의혹이 일지 않게 정말 최선을 다해서 회사 문을 닫을 각오로 사태 수습에 임하는 모습을 보여주길 바랍니다.

(남은 이야기는 스프에서)