세계일보

SK텔레콤의 유심(USIM) 정보 서버 등 핵심 인프라가 해킹된 가운데, 해당 서버들이 현행 정보통신기반보호법상 ‘주요정보통신기반시설’로 지정되지 않은 것으로 나타났다. 이번 사태를 계기로 추가 지정이 필요하다는 주장이 나온다.

28일 국회 과학기술정보방송통신위원회 최민희 위원장이 과학기술정보통신부로부터 제출받은 자료에 따르면, 이번에 해킹 피해를 입은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심 관련 핵심 서버 등은 ‘국가·사회적으로 보호가 필요한 주요정보통신기반시설’로 지정되지 않은 것으로 확인됐다.

정부는 정보통신기반보호법에 따라 통신·금융·에너지 등 국가 핵심시설을 주요정보통신기반시설로 지정하고, 관리기관의 보호대책 이행을 점검하고 있다.

하지만 현행 제도상 시설의 세부 지정 범위는 1차적으로 민간기관이 정하고, 정부는 타당성 검토와 필요 시 조정만 가능해 사실상 민간 자율에 맡기고 있는 구조다.

이로 인해 가입자 핵심정보가 저장된 서버가 정부의 직접 점검이나 기술 진단 대상에선 빠져 있었던 것으로 나타났다.

실제로 SK텔레콤은 최근 3년간 해킹 메일, 디도스 등 위기대응 훈련에 참여했지만, 이번 해킹 대상이 된 서버에 대해선 정부 주도의 기술 점검과 침투 테스트를 받은 적이 없다.

과기정통부에 따르면, 주요정보통신기반시설 지정은 관련 지정위원회에서 매년 논의를 진행한다. 올해 하반기에도 논의가 시작될 예정인 가운데, 이번에 해킹당한 SK텔레콤의 서버 등도 우선 검토 대상에 오를 것으로 전망된다.

이번 회의에선 통신사 인프라를 어느 범위까지 주요정보통신기반시설로 지정할지에 대한 논의가 이뤄질 것으로 보인다. 통신사의 경우 그간 이동전화 시스템을 중심으로 지정해온 것으로 알려졌다.

현재 KT와 LG유플러스 등 다른 이동통신사의 유심 정보 서버 등도 주요정보통신기반시설 대상에 포함돼 있지 않은 상황이다.

이번 사고로 가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 이동통신서비스 본질에 해당하는 정보가 유출된 만큼, 단순 개인정보를 넘어 심스와핑, 명의도용, 금융자산 탈취 등 2·3차 피해를 우려하는 목소리가 크다. 근본적인 대책 마련이 시급하다는 지적이 나온다.

최 위원장은 “HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도 현행 제도의 허점으로 인해 주요정보통신기반시설 지정조차 받지 못하고 있었다”며 “정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고 실질적 보호대책을 마련해야 한다”고 강조했다.

정부는 사고 경위를 조사 중이다. SK텔레콤은 이날 오전 10시부터 모든 가입자에게 유심 무상 교체를 진행하고 있다.

주말 동안 곳곳의 대리점에선 유심을 교체하러 갔다가 재고 부족 안내를 받고 발걸음을 돌리는 고객들의 불만이 쏟아진 것으로 알려졌다.

SK텔레콤 가입자와 이 회사 망을 사용하는 알뜰폰 가입자 등 교체 대상자가 모두 2500만명에 달한다는 점에서 재고 부족에 따른 혼란이 예상된다.

SK텔레콤은 현재 약 100만개의 유심을 보유하고 있으며, 다음 달 말까지 약 500만개의 유심을 추가로 확보할 예정이다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]