지난 4월, SK텔레콤에서 발생한 대규모 유심 해킹 사건이 사회적 충격을 주고 있다. 가입자 수 2500만 명에 달하는 SK텔레콤의 유심 정보가 유출되면서 개인정보 보호에 대한 우려가 커지고 있다. 이번 사건은 9.7GB, 약 270만 페이지 분량의 데이터가 유출된 것으로 확인됐다. 이에 따라 과학기술정보통신부는 SK텔레콤의 신규 가입자 모집을 중단하라는 행정 지도를 내렸으며, 서울경찰청은 전담수사팀을 확대 편성해 사건에 대한 수사를 강화하고 있다.

5월 19일 발표된 2차 조사 결과에 따르면, 해킹이 시작된 시점은 무려 3년 전으로 거슬러 올라간다. 이 기간 동안 해커는 SK텔레콤의 시스템에 침투해 악성 코드를 심었으며, 기기 식별번호 약 29만 건이 유출된 정황이 드러났다. 추가로 발견된 악성 코드 BPFdoor 20종은 해커가 시스템 운영체제에 설치되어 최고 등급의 권한을 획득했을 가능성을 시사한다. 이는 모든 내부 시스템에 접근할 수 있는 상황을 의미하며, 데이터 유출의 심각성을 더욱 부각시킨다.

고려대학교 정보보호대학원 김승주 교수는 “지난해 해킹 사실을 알 수 있는 기회가 있었음에도 SK텔레콤이 점검하지 않았다”고 지적했다. 외국 보안기업 트렌드마이크로는 2024년 7월과 12월에 SK텔레콤에 대한 공격이 있었음을 보고했지만, SK텔레콤은 이에 대한 조치를 취하지 않았다. SK텔레콤은 정보보호에 대한 투자액이 낮은 편이며, 가입자 수에 비해 정보보호 투자액이 2위에 머물러 있다는 점도 지적받고 있다.

해킹 사실을 인지한 후 SK텔레콤은 24시간 이내에 과학기술정보통신부에 보고하지 못했다. 정보통신망법에 따르면, 정보통신서비스 제공자는 침해사고가 발생한 사실을 알게 된 때로부터 24시간 이내에 관련 기관에 신고해야 한다. 그러나 SK텔레콤은 이러한 법적 의무를 지키지 않았으며, 이로 인해 다른 기관에서도 유사 피해를 확인하고 신속히 대응할 기회를 잃었다.

이번 해킹 사건의 진짜 목적에 대한 의문도 제기되고 있다. 김 교수는 “현재 조사 중이지만, 개인보다는 국가를 배후로 둔 조직적인 수행으로 추정된다”고 밝혔다. 해킹의 초기 목적은 해커의 명예욕이었으나, 점차 금전 탈취로 변화하고 있다. 그러나 SK텔레콤 해킹 사건에서는 금전 요구가 없었던 점이 이 사건의 특이점으로 지적된다. 이는 조용히 숨어들어와 몰래 활동하는 해킹의 새로운 양상을 보여준다.

해킹이 일상이 된 현대 사회에서 개인의 정보 보호는 더욱 중요해지고 있다. 김 교수는 “SNS에 개인 정보 노출을 자제해야 한다”고 강조하며, 여행 중 동선을 실시간으로 공개하지 말고, 휴대전화 업데이트를 반드시 해야 한다고 조언했다. 또한, 보안에 취약한 무료 와이파이는 사용하지 말 것을 권장했다.

김 교수는 “데이터 개방이 필수인 지금 시대에서는 국가 차원의 정보 자산 분류가 꼭 선행돼야 한다”고 주장하며, 기업 역시 보안을 개발 단계에서부터 내재화해야 한다고 덧붙였다. 마지막으로, SK텔레콤 해킹과 같은 사고의 재발을 방지하기 위해 보안 제도 강화가 필요하다고 강조했다.

이번 사건에 대한 심층 분석은 6월 15일 방송되는 KBS 1TV의 <이슈 PICK 쌤과 함께>에서 다룰 예정이다. 방송 후에는 KBS 홈페이지와 wavve, 유튜브 KBS 교양, KBS 다큐에서 다시 볼 수 있다.

[출처= KBS 제공]