산업 일반

“단 3%만 썼다” ...SKT, 영업이익은 1등이었지만 정보 보호 투자는 ‘꼴찌’

라예진 기자

입력 2025.05.02 06:00

공유: 공유

인쇄: 인쇄

URL: URL복사

댓글: 댓글

[SKT 유심 해킹에 떨다] ①
통신 3사 중 유일하게 정보 보호 투자 줄인 SKT
“깊숙한 저장소 뚫려, 유심 외 정보 유출 가능성 커”

유영상 SK텔레콤 CEO(가운데) 등이 SKT 이용자 유심 유출 사고와 관련해 고개 숙여 사과하고 있다. [사진 연합뉴스]

[이코노미스트 라예진 기자] “SKT 유심해킹 사건이요? 결론부터 말하자면 정말 큰 사건이 맞습니다.” (권태경 AI보안연구회 위원장·연세대 정보대학원 교수)

지난 4월 19일 2300만명의 국내 최대 휴대폰 이용자 수를 보유하고 있는 1위 통신사, SK텔레콤이 악성코드로 부터 공격 받는 사건이 발생했다. SKT는 4월 19일 오후 11시경, 악성코드로 인해 SKT 이용자의 유심(USIM·가입자 식별 모듈) 관련 일부 정보가 유출된 됐음을 발견했다고 밝혔다.

이에 정부는 조사에 착수했고 4월 29일, 과학기술정보통신부는 이번 유심해킹 사고와 관련해 단말기 고유 식별 번호(IMEI) 유출은 없는 것으로 확인했다며 1차 조사결과를 발표했다. 유심칩에는 가입자를 식별할 수 있는 번호(IMSI)와 단말기 식별 번호(IMEI), 유심 인증키 등의 정보가 있는데, 1차 조사 결과 우선 단말기 식별 번호는 유출되지 않았다는 것이다. 조사는 계속해서 확대하고 있어서 정확한 해킹 범위는 조사가 모두 마쳐야지만 밝혀질 것으로 전망된다.

“현재는 모른다, 피해는 속속 더 나올 수 있어”
단말기 고유 식별 번호가 유출되지 않았다고 해도 전문가들은 입을 모아 ‘이번 사안은 굉장히 심각한 사건’이라고 진단한다. 통신사 내부적으로만 접근 가능한, 즉 보안으로 철두철미하게 쌓여있어야 하는 폐쇄적 저장처가 뚫렸기 때문이다. 외부 접속 자체가 금지돼 있는 유심 네트워크 장치에 악성코드가 심겨진 것을 두고, 내부 조력자가 있을 것이라는 일명 ‘내부 조력자설’이 떠도는 이유도 이때문이다. 그 만큼 유심 네트워크 장치는 통신사의 깊숙한 저장고란 것을 의미한다.

이에 보안 전문가들은 유심 정보 외에도 SKT가 보유하고 있는 다른 정보들 역시 이미 유출됐을 가능성을 제기한다. 권 위원장은 “보통 해커들은 유심칩과 같은 특정 범위만 잡고 공격하지 않는다”며 “깊숙한 저장고인 유심 네트워크에 접근할 정도면 이미 SKT가 보유하고 있는 수많은 이용자들의 여러 정보들도 빼갔을 가능성이 매우 크다”고 말했다. 이이서 권 교수는 “한꺼번에 수 만명의 정보가 빠져나갔기 때문에 현재 눈에 보이는 피해가 없을 뿐 시간이 흐를수록 이번 해킹 사고에 대한 피해가 속속 나올 수 있다”고 경고했다.

이용자 수, 영업이익 1등이지만 보호 투자는 꼴찌

그렇다면 왜 이런 일이 벌어진걸까. 전문가들은 매일 빨라지는 해킹 기술의 속도도 꼽지만, SKT의 정보보호 투자에 대한 미흡함도 지적한다. 실제 SK브로드밴드를 따로 분리해 운영하는 점을 감안하더라도 SKT의 정보보호 투자액은 타 통신사와 비교했을 때 현저히 낮은 수준이다. 한국인터넷진흥원에 따르면 KT의 2022년 정보보호 투자비는 1021억원에서 지난해 1218억원으로 늘었고, LG유플러스는 2022년 292억원에서 지난해 632억원으로 대폭 늘었다. 반면 SK텔레콤은 2022년 627억원에서 지난해 600억원으로 되려 줄었다.

이는 각 사 이용자 수와 영업이익 대비로 비교해도 SKT의 투자비가 적었음을 알 수 있다. 과학기술정보통신부의 지난 2월 자료 기준으로 보면 SKT 휴대폰 이용자는 2300만명, KT 이용자 수는 1300만명, LG유플러스는 1000만명이다. 이용자 수는 타사 대비 2배가량 많지만 정보보호 투자액은 세 통신사 중 가장 낮은 것이다. 영업이익 비율로 따져도 KT는 지난해 영업이익의 12%를 정보보호 투자액으로 사용했고, LG유플러스는 7.3%를 투자했다. SKT는 영업이익의 3.2%만을 이용자 정보 보호를 위해 투자했다.

서울 시내 한 SKT T월드 매장 앞에 유심 재고 소진 안내문이 붙어 있다. [사진 연합뉴스]

한편 이 같은 상황에 SKT 소비자들은 잔뜩 뿔이 난 상태다. 온라인상에는 ‘SKT 유심 해킹 공동대응 공식 홈페이지’가 개설됐고 국회에는 이번 사태에 대한 철저한 진상 규명과 피해 규모 파악, SKT의 책임 있는 대응을 촉구하는 국민 청원이 진행되고 있다. 또 포털 사이트에는 ‘SKT 개인정보 유출 집단소송 카페’가 개설되고, 가입자들은 해킹 피해에 대한 집단 소송을 준비하고 있다.

SKT는 ‘개발 역량을 총동원해 고객 불편을 최소화하겠습니다’는 입장이다. 지난 4월 25인 유영상 SKT 최고경영자(CEO)는 공식 사과를 하며 유심 무료 교체 건을 포함한 고객 정보 보호조치를 발표하기도 했다. 유 CEO는 사과 자리에서 “SK텔레콤을 믿고 이용해주신 고객 여러분과 사회에 큰 불편과 심려를 끼쳐 드린 점에 대해 진심으로 사과드린다”말했다. 하지만 4월 28일부터 시작한 유심 무료 교체 서비스는 첫날부터 많은 이용자들이 한꺼번에 몰리면서 매장마다 유심 재고 부족 사태가 일어나고, SKT가 유심 교체의 대안책으로 내놓는 유심보호서비스 역시 온라인 접속 자체가 어려운 상황이다.