민관합동조사단의 19일 SKT 해킹 조사 결과는 데이터 보안의 심각성을 일깨워준다. 이용자를 증명하는 가입자식별번호(IMSI)가 털린 데 이어 서버에 보관됐던 단말기식별번호(IMEI)까지 유출됐을 가능성을 배제할 수 없어 이용자들의 불안감을 더욱 키웠다. 지난달 많은 이들이 아침부터 대리점 앞에 줄을 선 이유는 ‘가짜 나’를 막기 위해서였다. 누군가가 나를 사칭해 휴대폰을 개통하고 은행계좌를 개설한 뒤 대출을 받고, 예금을 인출하고, 가족과 주변에 가짜 메시지를 보낼까 걱정해서였다.
우리는 지금 데이터가 나를 대신하는 시대를 살고 있다. 과거엔 쌀독과 금고를 지켰지만 이제는 데이터 역시 지켜야 한다. 신용태 숭실대 컴퓨터학부 교수는 사견을 전제로 “이젠 개인정보 보안 측면에서 주민등록번호 개편까지 검토해봐야 하지 않을까 싶다”고 말했다.
우크라, 러 침공 앞서 데이터 이전
과거엔 영토, 지금은 데이터 안보
정보 보안, 선거와 민주주의 기반
‘데이터 자산’이라는 개념은 개인을 넘어 국가 단위에선 더욱 의미심장하다. 물리적 영토만 아니라 온라인 데이터도 국가 기능을 떠받치는 핵심 인프라가 됐다. 러시아와 싸우고 있는 우크라이나가 그 사례였다.
전쟁 발발 3년이 지난 지금 우크라이나는 러시아의 물량전과 트럼프 행정부의 소극적 태도로 인해 열세에 몰려 휴전을 강요받고 있다. 그럼에도 전쟁 초기 막강한 러시아를 상대로 행정력을 유지하며 선전할 수 있었던 배경엔 ‘디지털 피란’이 있었다.
러시아 침공 일주일 전인 2022년 2월 17일 우크라이나 의회는 정부 및 주요 민간기관의 데이터를 국내 서버에만 보관하도록 했던 법을 바꿔 해외 서버에도 저장할 수 있도록 했다. 이후 수 개월간 우크라이나 정부기관 42곳, 대학 24곳, 주요 시중은행의 데이터가 아마존 클라우드로 옮겨졌다.
당시 이전한 데이터는 주민등록, 토지·재산 소유 기록, 납세 자료, 은행 기록, 학력 자료 등 주요 행정·금융 정보였다. 한국으로 치면 주민등록부, 등기부등본, 납세증명원, 예·적금 현황, 졸업 증명 등이다. LA타임스를 이를 놓고 “우크라이나 정부를 박스에 담았다”고 보도했다. 아마존 측은 “누가 무엇을 어디에 소유했는지에 대해 검증된 기록을 제공한 것”으로 자평했다. 덕분에 우크라이나 국민은 원격으로 정부의 토지·재산 기록에 접속할 수 있었고, 우크라이나 교육부는 원격으로 졸업 시험을 치를 수 있었다. 아마존 외에 마이크로소프트도 우크라이나 측 데이터를 이전받아 자체 클라우드에 보관했다.
물론, 행정 정보와 금융 데이터를 해외 클라우드에 이관하는 건 결코 단순하게 정할 일이 아니다. 국가 핵심 정보를 클라우드 소재 국가의 법률과 정책에 맡기는 것이라 디지털 주권 포기라는 논란을 부른다. 또 우크라이나는 데이터를 암호화해 해외 서버에 이전했다고 하나 클라우드 관리자가 정보를 빼내거나 오염시킬 가능성 역시 배제할 수 없다. 국내의 한 정보 전문가는 “주요 데이터센터가 파괴되면 돌이킬 수 없는 피해를 입을 수 있지만, 해외 보관은 개인정보·금융정보 유출 가능성이라는 또 다른 문제가 있다”며 “이 때문에 국내에서도 이 이슈를 놓고 이미 많은 논의가 있어왔다”고 전했다. 그럼에도 우크라이나는 러시아에 뺏기느니 빅 테크에 맡기는 극한 선택을 했다. 당시 우크라이나 당국자는 “미사일로 클라우드를 파괴할 수는 없다”고 말했다.
오늘날 전쟁의 양상은 바뀌었다. 현실의 인프라만 아니라 디지털 데이터도 공격 대상이다. 물론 전쟁은 극단적인 경우이고 일상에선 해킹이 훨씬 더 현실적인 위협이다. 해킹으로 데이터를 탈취하고, 삭제하고, 인질로 만들어 돈을 요구하는 개인·국가 단위의 범죄는 계속되고 있다. 특히 한국은 사이버 안보의 최전선에 있다. 보안업체 스펙옵스(Specops) 조사에 따르면 2000년 5월부터 2020년 6월까지 한국은 미국·영국·인도·독일에 이어 전 세계에서 다섯 번째로 사이버 공격을 당했다(송태은, ‘러시아-우크라이나 전쟁의 사이버전’, 국립외교원). 한국은 사이버 공간을 가장 적극적으로 활동 무대로 삼는 3국인 북한·중국·러시아에 둘러싸여 있다.
러시아는 우크라이나 침공 10시간 전 우크라이나 정부·민간기관 서버에 몰래 심어놨던 폭스블레이드라는 악성코드를 깨워 대규모의 와이퍼 공격(정보 삭제 사이버 공격)을 시도했다(송태은, 위 논문). 한국 역시 북한 미사일이 서울을 때리기에 앞서 정부 행정망, 금융 전산망부터 먼저 마비될 수 있다. 데이터를 잃으면 나라도 흔들린다. 우리가 지키려는 자유민주주의도, 14일 앞으로 다가온 대선도 모두 데이터 보안 위에 존재한다. 우리는 지금 데이터 안보의 시대를 살고 있다.
![[뉴스핌 이 시각 PICK] "SKT 단말기 고유식별번호 유출 가능성" 外](https://img.newspim.com/news/2025/05/19/2505191508538070.jpg)
![[속보] 이스라엘군 "가자지구서 대규모 지상작전 개시"](https://newsimg.sedaily.com/2025/05/18/2GSUHVKODI_3.jpg)