[4호] SKT 해킹 사태의 컨트롤 타워는 어디였을까?

SKT 해킹 사태의 컨트롤 타워는 어디였을까?

김동원(언론개혁시민연대 정책위원)

 

종종 벌어지는 이동통신사, 인터넷쇼핑몰, 배달플랫폼 업체의 개인정보 유출은 더 이상 낯설지 않습니다. 선거철만 되면 서울 사는 제게 멀리 목포나 타 지역에서 출마한 국회의원 후보의 후원금 요청이나 투표 독려 문자가 쏟아집니다. 입법을 하는 국회의원들마저 개인정보를 선거에 이용하니 ‘한국의 개인정보는 공공재’라는 말이 어색하지 않습니다. 그런데 지난 4월 22일 이전과는 비교가 안 될 사건이 터졌습니다. 다 아시겠지만, SKT 개인정보 유출 사태지요. 물론 이전에도 통신3사의 개인정보 유출 사태는 있었지만 이번에는 전화번호나 이름 정도가 아니라 SKT에 가입한 약 2,700만 명의 가입정보가 유출되었습니다.

 

그런데 SKT 뿐 아니라 언론 또한 정확히 어떤 개인정보가 유출된 것인지 쉽게 설명하지 못했습니다. 국회 청문회에서 SKT 대표이사나 관계자들은 무슨 말인지도 모를 IMSI, IMEI 등 전문용어를 구사했고, 관련 정부부처인 과학기술정보통신부(과기부)도 BPF도어나 악성코드처럼 유출 경위를 쉽게 설명하지 못했습니다. 그저 “유심교체를 하지 않아도 유심보호서비스에 가입하면 된다”는 말만 반복되었습니다. 도대체 어떤 정보가 유출된 것일까요?

 

도대체 무슨 정보가 유출 되었나요?

 

우리가 새로 휴대폰을 사면 대리점이나 영업점에서는 유심(USIM)카드를 따로 사야 한다며 싸게는 4,000원에서 비쌀 때는 8,000원 정도를 부릅니다. 유심 카드는 손톱보다 작지만 정말 많은 정보를 담고 있습니다. 전 세계 약 70억 개에 달하는 휴대폰 중 여러분이 쓰고 있는 휴대폰을 식별할 수 있는 코드(IMEI), 그리고 이 휴대폰을 누가 쓰고 있는지 국가, 통신사, 가입자를 기록한 코드(IMSI)가 들어 있습니다. 우리가 해외 여행을 가서 외국 통신사의 망을 쓰더라도 로밍을 할 수 있는 것도 이 코드들 덕분입니다. 또한 통신사의 망과 휴대폰이 연결될 때 필요한 암호도 들어 있습니다. 우리가 컴퓨터로 포털이나 카카오톡 등 인터넷 서비스를 이용할 때 매 번 아이디와 패스워드를 입력하거나 때때로 보안 인증을 다시 합니다. 휴대폰도 통신사 망에 접속할 때 이런 아이디와 패스워드가 필요하지만 매번 입력하거나 인증할 수 없으니 유심카드에 암호키를 넣어 놓는 것입니다.

 

SKT와 같은 이동통신사들은 모든 가입자의 유심에 들어 있는 이런 정보들을 가입자 서버라는 곳에 저장해 놓습니다. 이번 SKT 사태는 바로 이 가입자 서버가 해킹 당한 것입니다. 그것도 2,700만 명의 유심 정보가 누가, 어디로, 왜 유출했는지도 모른 채 말이지요.

 

우리는 종종 페이스북, 인스타그램, 트위터 등의 계정을 해킹 당하기도 합니다. 공들여 포스팅한 문자, 사진, 동영상도 아깝지만 누군가 내 계정으로 내 친구에게 말을 걸거나 이상한 광고를 보낸다는 사실만으로도 아찔해 집니다. 그런데 이런 소셜 미디어 계정이 아니라 멀쩡히 내가 손에 들고 있는 휴대폰을 누군지도 모르는 사람이 똑같은 폰으로 복제해서 쓴다고 생각하면 전혀 다른 문제가 됩니다. 이러니 SKT 대표이사도 국회 청문회에서 “통신사 역사상 최악의 해킹 사고”라는 점에 동의한다고 말했지요. 말 그대로 역대급 사태였던 셈입니다.

 

방송통신위원장은 어디에?

 

SKT가 해킹 사실을 안 것은 4월 18일로 알려졌습니다. 그런데 SKT는 나흘이나 지난 22일 휴대폰에 깔린 자사 고객센터 어플리케이션 T월드의 공지사항으로만 이 사실을 알렸습니다. 가입자에게 보내는 메시지로 해킹 사실이 알려진 날짜는 하루가 지난 23일이었습니다.

 

그야말로 난리가 났습니다. 전문용어를 알지는 못해도 가입자들 사이에는 “내 휴대폰이 해킹당했다”는 걱정에 누군가 내 휴대폰 명의로 카카오 뱅크의 대출을 받거나 인터넷 쇼핑에 거액의 결제를 할지 모른다는 공포가 퍼졌습니다. 그러니 수 많은 가입자들이 유심을 교체하러 SKT 대리점 앞에 오픈 전부터 줄을 섰지요. 그러나 SKT는 이렇게 기다리는 가입자들을 위한 유심 재고를 충분히 확보하지 못했고 하루 단위로 새로 확보한 유심 물량만을 공개했습니다. 게다가 SKT는 사태 초기에 자사의 과실이 분명함에도 “유심보호서비스에 가입했음에도 피해가 발생한다면 100% SKT가 책임지겠다”고 밝혔습니다. SKT의 의도가 어떠했든 이 말은 가입자들에게 ‘유심을 교체하지 말고 부가 서비스에 가입하라’는 비용 부담으로 받아들여졌습니다. 이 서비스마저도 초기에는 가입 대기 시간이 발생해 제대로 이용하지도 못했습니다.

 

이렇게 답답한 가입자들 눈에 국회에서 오가는 SKT, 과기부, 국회의원들 간의 질타, 사과, 그리고 모호한 대책 발언은 먼나라 얘기처럼 들렸습니다. 다수 언론 보도도 SKT와 과기부의 보도자료나 국회의원들의 질책과 SKT 대표이사의 머뭇거리는 답변만을 전달했습니다. 그런데 법률을 보면 이번 사태를 수습할 정부 부처는 과기부만이 아니었습니다.

 

 

위 그림을 보면 이동통신사에 대한 규제와 처벌 기관이 분산된 것을 알 수 있습니다. 과기부는 이동통신사의 기술적 영역에 대한 평가와 규제를, 방송통신위원회는 이동통신사 간 부당 거래나 이용자와의 위법한 계약 점검을, 개인정보보호위원회는 개인정보 보호 의무 이행하지 않은 사업자에 대한 처벌을, 그리고 공정거래위원회는 말 그대로 SKT를 믿을 수 없어 통신사를 바꾸려는 가입자에 대한 보호 조치를 해야 합니다.

이번 SKT 해킹 사태는 유심 정보 유출뿐 아니라 이 기회를 노린 KT나 LGU+ 등 경쟁사의 가입자 이전 경쟁, 위약금을 볼모로 이탈하려는 가입자를 막는 SKT, SKT가 제공하는 망을 이용하는 알뜰폰 가입자나 해외 체류 중인 가입자의 보호 조치 등 위 네 부처가 합동 조사와 대책을 내놓아야 할 대형 재난이었습니다. 규제 기관이 분산되어 있더라도 위 부서 중 어떤 곳이 가장 신속하게 앞장서 ‘컨트롤 타워’ 역할을 해야 했을까요? 바로 방송통신위원회(방통위)였습니다.

 

이 사태 당시 이진숙 방통위원장은 미국의 방송통신위원회라 할 수 있는 FCC 위원장 브랜든 카(Brendon Carr)를 만나기 위해 미국 방문 중이었습니다. 방통위의 조직도를 보면 가장 큰 부서는 방송통신이용자정책국(7과 2팀 1관)이며 방통위 설치법 제3조제1항은 방통위의 업무를 “방송과 통신에 대한 규제와 이용자 보호 등의 업무”라 규정하고 있습니다. 따라서 “통신사 역사상 최악의 해킹 사고”를 수습할 부처 간 협력은 방통위가 요청해야 했습니다. 그런데 사태가 발생한 지 며칠이 지나도록 방통위 홈페이지의 보도자료 첫 번째는 4월 28일자 <이진숙 방통위원장, 브랜든 카 미국 연방통신위원회 위원장 만난다> 뿐이었습니다. 

게다가 이진숙 위원장은 SKT의 해킹 사태가 벌어지기 약 한 달 전인 3월 19일 <2024년도 전기통신사업자 이용자 보호업무 평가 결과>를 심의·의결했습니다. 이 평가는 크게 (1) 이용자 보호 업무 관리 체계의 적합성 (2) 관련 법규 준수 실적 (3) 피해 예방 활동 실적 (4) 이용자 의견 및 불만 처리 실적 등을 평가합니다. 그런데 놀랍게도 이 평가에 따르면 기간통신 이동통신 분야에서 SKT가 매우 우수 등급을, LGU+와 KT는 우수 등급을 받았습니다. 가장 우수한 이용자 보호업무를 수행한다고 평가한 사업자에게 초유의 가입자 정보 유출이 벌어졌다면 이에 대한 책임은 당연히 이진숙 방통위원장에게 있었습니다. 

정권이 바뀔 때마다 방통위는 언론 장악이나 탄압의 상징처럼 여겨졌습니다. 그러나 방통위의 업무와 책임은 언론에만 있지 않습니다. 이제는 보편적 서비스라 할 이동통신에 대한 이용자 보호의 책임은 정권에 우호적인 공영방송이나 종편을 만드는 일보다 더 중요하고 기본적인 책무입니다. 이런 책무의 무게를 모르는 방통위원장이 계속 자리를 지키는 것이 과연 옳은 일인지 정권 교체 여부를 떠나 생각해 봐야 할 문제입니다. (끝)