2300만 가입자를 보유한 SK텔레콤 해킹 사건이 처음 알려진 지 한 달이 지났다. 국내 최대 통신사의 보안 허점을 드러낸 초유의 사태로, 민간과 공공을 가리지 않고 보안 체계 전반을 재정비해야 한다는 목소리가 커지고 있다. 정부와 산업계가 긴밀히 협력해 국가 차원의 대응 전략을 마련해야 한다는 데 이견이 없다.
22일 보안업계 등에 따르면 국내에선 주민등록번호 등 개인정보가 더 이상 보호받지 못하는 ‘공공재’라는 자조 섞인 말이 나온 지 오래다. 반복되는 개인정보 유출 사고에도 사회적으로 엄중한 대응은 이뤄지지 못했다. 이번 SK텔레콤 해킹 사태는 이 같은 현실에 경고음을 울리는 계기가 됐다.
SK텔레콤 사태가 터진 후에도 알바몬, 콜센터 용역업체 KS한국고용정보, 명품 브랜드 디올 등에서도 개인정보 유출 사고가 잇따랐다. 다크웹에선 22GB(기가바이트) 분량의 KS한국고용정보 전현직 임직원 개인정보가 2000만원에 판매되는 것으로 알려졌다. 국가정보원은 지난해 공공기관 개인정보가 텔레그램과 다크웹을 통해 유통되고 있다고 경고한 바 있다. 전문가들은 수면 위로 드러난 사건이 “빙산의 일각일 것”이라고 말한다.
부실한 정보보호 실태는 조사 결과로도 확인된다. 최근 한국CPO협의회가 소속 공공기관·기업의 개인정보보호책임자(CPO) 55명을 대상으로 진행한 설문조사에서 응답자 63%가 ‘개인정보 보호 예산이 부족하다’고 답했다. 낮은 우선순위, 보안·정보기술(IT) 예산의 혼재, 경영진의 낮은 관심 등을 이유로 꼽았다.
사전 대응뿐만 아니라 사후 대응도 도마에 올랐다. 이번 SK텔레콤 해킹 사태는 부실한 초기 대처로 이용자가 침해 사실을 제대로 인지하기 어려웠다. 해킹를 방어하지 못한 1차적 책임이 있는 기업뿐만 아니라 정부도 혼란을 키운 책임에서 자유롭지 못하다. 과학기술정보통신부는 지난달 1차 합동조사단 조사 결과 발표에서 “단말기 고유식별번호(IMEI) 유출이 없었다”고 발표했다. 하지만 2차 발표에서는 IMEI 유출 가능성이 불거지자 “유출돼도 복제폰을 만들기는 어렵다”고 정정했다. 중대한 해킹 사건이 발생하면 정부가 국민에게 직접 위험성을 전달하는 경보 체계를 갖춰야 한다는 지적이 나오는 이유다.
이번 사태는 점차 국가적 보안 문제로 인식되고 있다. 아직 공격 배후에 대한 조사가 진행 중이긴 하지만, 금전 탈취 목적이 아니라 국가 인프라를 노린 사이버 공격 가능성에 무게가 실리고 있기 때문이다.
보안업계 관계자는 “기업·기관들이 한국인터넷진흥원과 같은 사이버 보안 기관과 협력해 위협 인텔리전스(사이버 공격을 보다 잘 방어하는 데 도움이 되는 정보)를 공유하고 정부 및 산업 간 견고한 협력 체계하에서 국가 차원의 대응 전략을 수립해야 한다”고 말했다.
박춘식 아주대 사이버보안학과 교수는 “이번에 해킹된 SK텔레콤 서버를 정보통신기반보호법상 주요정보통신 기반시설로 지정해 관리하고 정보보호 인증 체계도 강화해야 한다”고 말했다. 정보통신망법에 정보보호 예산의 최소 투자 비율을 명시하는 방안도 필요하다고 봤다. 박 교수는 “사이버 공격 방식이 인공지능(AI) 기술을 이용하는 등 갈수록 교묘해지고 있다”며 “이 문제는 미래 문제가 아니라 과거에도 있었고 지금도 진행 중”이라고 강조했다.
류정환 SK텔레콤 네트워크인프라센터장은 이날 “지능형 지속 공격(APT·오랜시간에 걸쳐 지속적이고 은밀하게 침투)은 발견도, 막는 것도 힘들다”며 “(앞으로) 통신사들과 공동으로 방어하는 방안이 논의될 것 같다. 논의가 본격화되면 참여할 의사가 있다”고 말했다. 향후 자사 망에 대한 진단 결과를 토대로 정보보호 투자를 늘릴 방침이라고도 했다.
