전체기사 최신뉴스 GAM
KYD 디데이
산업 ICT

속보

더보기

SKT, 유심 정보 '암호화' 미비…'유심 해킹 피해 귀책사유' 될까

기사입력 : 2025년05월08일 08:28

최종수정 : 2025년05월08일 13:48

※ 본문 글자 크기 조정

  • 더 작게
  • 작게
  • 보통
  • 크게
  • 더 크게

※ 번역할 언어 선택

"유심 정보는 암호화 의무 대상 아냐" vs "유심 정보도 '광의의 개인정보' 해당"
KISA·과기부 "통신사 암호화 현황 관리하지 않아…자료 요구할 법적 근거 없다"

[서울=뉴스핌] 김영은 인턴기자 = SK텔레콤이 네트워크와 서버 내 유심(USIM) 정보의 암호화를 완료하지 않은 사실이 드러나면서, 해당 사실이 이번 해킹 사태의 '귀책사유'로 지목될 가능성이 제기되고 있다. 

앞서 이준석 의원(개혁신당)은 지난달 30일 국회 청문회에서 "SKT가 사업을 영위한 지 30년이 지났는데, 그때부터 유심 정보가 평문(암호화하지 않은 상태)으로 관리됐다는 건 충격적"이라며 "이 정도 수준의 식별 정보를 암호화하지 않았다는 건, 보안 엔지니어링의 기본도 지키지 않은 것"이라고 지적했다. 이에 류정환 SKT 부사장 겸 네트워크 인프라 센터장은 "네트워크 쪽은 암호화돼 있지 않은 부분이 많다"며 "데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다"고 시인했다. 

[서울=뉴스핌] 최지환 기자 = 유영상 SK텔레콤 대표가 30일 오전 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에서 물을 마시고 있다. 2025.04.30 choipix16@newspim.com

8일 통신업계에 따르면, SKT의 네트워크 암호화 및 서버 저장 데이터 암호화 작업은 여전히 완료되지 않은 상황이다. 류 부사장은 지난 2일 유심 정보 유출 관련 일일 브리핑에서 "암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다"고 밝혔으나, 다음날 공식 브리핑을 마친 뒤 "전체 암호화는 진행 중이지만, 일부 예외 구간(호 처리 즉, 통화 연결 등 일부 민감한 구간)은 다른 방식으로 보안을 강화할 방안을 찾아나가고 있다"며 암호화 작업이 완료되지 않았음을 인정했다.

서버 저장 데이터 및 네트워크 암호화란, 통신망을 통해 주고받는 데이터(음성, 문자, 인증정보 등)를 읽을 수 없는 암호문으로 바꿔 전송함으로써, 외부에서 도청하거나 탈취하더라도 내용을 알아볼 수 없게 만드는 보안 기술이다. 암호화를 적용하면, 해커가 데이터를 가로채더라도 쓸모없는 문자 덩어리(암호문)만 얻게 돼 개인정보 ▲유출 ▲도청 ▲변조 ▲신원 도용 등 각종 사이버 범죄를 예방할 수 있다. 결과적으로 SKT 이용자들의 '가입자 인증 번호(IMSI)' '인증키(Ki)' '유심 일련번호' 등 핵심 정보는 암호화를 거치지 않아 외부에 노출된 상황이다.

SKT는 암호화에 대한 '법적 의무'가 없다는 입장이다. 개인정보보호위원회 고시 '개인정보의 안전성 확보조치 기준' 제7조 2항에 따르면 개인정보처리자가 암호화해 보관해야 할 정보에는 주민등록번호, 여권번호 등만 명시돼 있다. 류 부사장은 지난달 30일 국회에서 "법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다"고 밝혔지만, 유심 칩의 가입자 식별번호, 인증키 등이 암호화 의무 대상이 아니라는 취지의 입장을 고수 중이다. 

◆ 전문가 "유심정보도 안전성 조치 취해야 할 '광의의 개인정보'" 지적

[서울=뉴스핌] 최지환 기자 = 가입자 유심(USIM) 정보를 해킹 당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 강서구 김포공항 국제선 SKT 로밍센터에서 고객들이 유심교체를 위해 줄을 서 있다. 2025.04.28 choipix16@newspim.com

정보보호학계와 법조계 일각에서는 유심에 내재된 정보를 '광의의 개인정보'로 해석해야 한다며 SKT 측의 귀책사유 가능성을 제기하는 목소리도 나왔다. 유출된 정보가 가입자 식별에 사용될 수 있는 만큼, 정보 보호를 위한 안전성 조치가 필수적이었다는 주장이다.

엄흥열 순천향대 정보보호학과 교수는 "유심 정보는 법에서 정한 암호화 의무 대상에 포함되지는 않는다"면서도 "그렇지만, 광의로 봤을 때 개인정보라고 볼 수 있는 소지가 크다"고 말했다. 

이어 "SKT가 개인정보 보호법 제29조의 안전성 조치 중에서 '침입 탐지 및 차단 조치' '접근 통제 조치' '악성 프로그램 침투 여부 점검 및 치료 프로그램 설치 운영 등의 갱신 등의 조치' 등의 위반 소지도 크다고 보여진다"며 "통신업계 관행보다 SKT의 (암호화) 보호조치가 미비한 것으로 판별이 날 경우에, SKT의 책임이 없다고 보기 힘들다"고 지적했다.

개인정보 보호법 제29조는 개인정보처리자에게 분실, 도난, 유출, 위조, 변조, 훼손 등을 방지하기 위해 대통령령으로 정하는 기술적, 관리적, 물리적 조치를 취할 것을 명시하고 있다. 시행령 제30조는 구체적으로 ▲침입 탐지 및 차단(제30조 3호) ▲접근 통제(제30조 2호) ▲악성 프로그램 점검 및 치료(제30조 4호) 등을 포함하고 있다.

최장혁 개인정보보호위원회 부위원장은 지난 4월 정부서울청사에서 열린 정례브리핑에서 SK텔레콤 해킹 사고와 관련해 SKT의 안전성 확보 조치 미흡 가능성을 공개적으로 지적한 바 있다. 

명현준 변호사(법무법인 명량)도 "유출된 정보가  '온라인에서 가입자가 누구인지를 증명하는 신분증과 같은 고유번호나 인증 키'라는 점을 고려하면, 개인정보에 포함될 여지가 크다고 생각된다"며 "유심 불법복제와 같은 범행을 통해 인증시스템의 취약점을 악용해 실질적인 피해로 연결될 수 있다는 점을 생각하면, 통신상 인증을 가능하게 하는 신분증도 개인정보에 포함될 여지가 있다"고 말했다. 

다만 "현행법상 유심 정보 암호화를 의무화한 조항은 없어 입법적 공백이 존재한다"며 "이번 사태는 법원이 '안전성 조치 미흡'을 근거로 SKT의 책임을 인정할지 여부가 핵심 쟁점이 될 것"이라고 덧붙였다. 

아울러 "SKT가 암호화를 하지 않은 이유가 무엇인지, 침입차단을 위한 정책이나 조치 등 다른 동시대 보편적인 보안수준의 보호가 이뤄지고 있었는지 등이 종합적으로 고려돼야 한다"며 "구체적인 통신사별 보안조치 자료들은 이번 사태를 계기로 공개돼야 할 것이고, 미진한 점들은 확인 즉시 보완해야 할 것으로 생각된다"고 강조했다. 

◆ 정부기관 "통신사 암호화 현황 관리하지 않아…법적 근거 없다"

현재 SKT를 비롯한 국내 주요 통신사의 암호화 현황을 관리하는 정부기관은 없다. KISA 측은 "국내 통신 3사 네트워크 암호화 현황을 알 수 있는 자료를 보유하고 있지 않다"며 "과학기술정보통신부의 네트워크 정책과에 문의를 해 봐야 한다"고 답했다. 이에 과기부 측은 "정부가 통신사 측에 암호화 현황을 요구할 법적 근거는 없다"며 "SKT는 해당 회사에서 자발적으로 암호화 실태를 공개한 것이고, 그 밖에 사고가 발생하지 않은 LG유플러스나, KT의 현황을 요구할 법적 근거가 없어서 암호화 현황을 알고 있진 못하다"고 설명했다.  

과기부가 주도하는 민관합동조사단은 SK텔레콤 해킹 사건에서 암호화 미비와 해킹의 연관성을 집중적으로 조사하고 있다. 조사단은 최근 추가로 발견된 8종의 악성코드가 어디서, 어떻게 들어왔는지 조사하고 있다. 현재 포렌식 분석을 통해 ▲악성코드 생성 시점 ▲HSS(홈가입자서버)와의 연결성 ▲유심 정보 유출 경로 등을 종합적으로 확인 중이다. 특히 암호화 미비로 인한 추가 피해가 입증될 경우, SKT의 기술적·관리적 책임이 강조될 전망이다. 민관합동조사단은 이르면 6월 중순쯤 중간 조사 결과를 발표할 계획이다.

SKT 유심 정보 유출 사태와 관련해 집단(공동)소송을 주도하고 있는 하희봉 변호사(로피드 법률사무소 대표)는 "암호화 미비와 해킹의 직접적 인과관계를 밝히기 전까지 판단이 조심스러운 면이 있다"면서도 "다만, 유심 정보가 암호화되지 않은 채 저장됐던 사실은 분명하고, 이런 상황에서 해킹이 발생해 대규모 정보 유출로 이어졌다면, SKT의 책임을 완전히 배제하기는 어렵다고 본다"고 말했다. 

한편, 최태원 SK그룹 회장은 전날 SK텔레콤 본사에서 열린 브리핑에 직접 참석해 최근 발생한 해킹 사태에 대해 대국민 사과를 발표했다. 최 회장은 "사고 이후 소통과 대응이 미흡했던 점에 대해서도 뼈아프게 반성한다"며 재발 방지를 위한 전사적 보안 체계 점검과 외부 전문가가 참여하는 정보보호혁신위원회 구성 등 후속 대책을 약속했다. 또, 정부 조사에 성실히 협조해 사고 원인 규명과 피해 복구에 최선을 다하겠다고 강조했다.

[서울=뉴스핌] 양윤모 기자 = 최태원 SK그룹 회장이 7일 오전 서울 중구 SK텔레콤 T타워 SUPEX홀에서 열린 해킹 사태 관련 일일 브리핑에 참석해 해킹 사고 이후 19일 만에 고개숙여 대국민 사과를 하고 있다. [공동취재] 2025.05.07 yym58@newspim.com

yek105@newspim.com

[뉴스핌 베스트 기사]

사진
메타, AI 데이터센터 구축 270억달러 조달 [서울=뉴스핌] 최원진 기자= 미국 메타플랫폼스(NASDAQ: META)가 루이지애나주 리치랜드 패리시에 건설 중인 초대형 데이터센터 '하이페리온(Hyperion)' 프로젝트를 위해 사모펀드 블루아울캐피털(Blue Owl Capital)과 손잡고 270억달러(약 38조 7000억 원) 규모의 자금 조달 계약을 체결했다고 로이터 통신이 21일(현지시간) 보도했다. 이번 거래는 민간 기업의 단일 자금조달 규모로는 역대 최대 규모다. 메타는 프로젝트의 약 20% 지분을 보유하고, 나머지 대다수 지분은 블루아울이 운용하는 펀드가 보유한다. 블루아울은 약 70억달러 현금을 투입했으며, 메타는 그 대가로 약 30억달러의 일회성 현금 배당을 받았다. 하이페리온 데이터센터는 2기가와트(GW) 이상의 연산 용량을 갖춰 대규모 언어모델(LLM) 학습 등 차세대 인공지능(AI) 연산 인프라를 지원할 예정이다. 메타는 현지에 500명 이상을 고용할 계획이며, 시설 임대계약은 4년 기한에 연장 옵션이 포함된 형태다. 월스트리트저널(WSJ)에 따르면 이번 프로젝트에는 블랙록과 핌코 등 글로벌 자산운용사들이 대규모로 참여했다. 블랙록은 전체적으로 약 30억달러 규모의 채권을 인수했으며, 일부는 액티브 하이일드 ETF 등에 편입됐다. 핌코는 약 180억달러어치를 사들이며 최대 투자자로 참여했다. 업계는 이번 메타의 270억달러 조달을 AI 연산력 확보 경쟁의 신호탄으로 보고 있다. 대형 기술기업들이 전 세계적으로 데이터센터와 전력망 확충에 수백억 달러를 쏟아붓는 가운데, 모건스탠리는 메타·구글·아마존·마이크로소프트 등이 올해만 약 4천억달러를 AI 인프라에 투입할 것으로 내다봤다. 오픈AI 역시 26GW 규모의 연산 능력 확보를 위해 1조달러 이상을 투입할 가능성이 제기된다. 메타의 기업 로고 [사진=블룸버그] wonjc6@newspim.com     2025-10-22 09:32
사진
北, 동북방향으로 단거리 탄도미사일 발사 [서울=뉴스핌] 오동룡 군사방산전문기자 = 북한이 22일 오전 8시10분 경 동북 방향으로 단거리 탄도미사일을 발사했다고 합동참모본부가 밝혔다. 북한의 탄도미사일 도발은 이재명 정부 출범 이후 처음이다. 합참에 따르면, 우리 군은 22일 오전 8시10분경 북한 황북 중화 일대에서 동북 방향으로 발사된 단거리 탄도미사일 수 발을 포착했다. 포착된 북한의 미사일은 약 350km 비행했고, 정확한 제원에 대해서는 한미 정보 당국이 정밀분석 중에 있다고 밝혔다. 북한이 22일 오전 8시10분 경 동북 방향으로 단거리 탄도미사일을 발사했다고 합동참모본부가 밝혔다. 사진은 북한의 단거리 탄도미사일 발사 장면, [사진=조선중앙통신] 2025.10.22 gomsi@newspim.com 합참 관계자는 "한미 정보당국은 북한의 미사일 발사 준비 동향을 사전에 포착해 감시해 왔으며, 발사 즉시 탐지 후 추적하였다"면서 "또한, 미·일 측과 관련 정보를 긴밀하게 공유했다"고 했다. 그러면서 "우리 군은 굳건한 한미 연합방위태세 하에 북한의 다양한 동향에 대해 예의주시하면서, 어떠한 도발에도 압도적으로 대응할 수 있는 능력과 태세를 유지하고 있다"고 밝혔다. 한편, 북한의 단거리 탄도미사일 발사와 관련, 국가안보실은 안보실 및 국방부·합참 관계자 등이 참석한 가운데 '긴급 안보 상황 점검회의'를 개최했다. 국가안보실 관계자는 "북한의 탄도미사일 발사 상황을 실시간으로 파악하고, 관련 상황을 대통령께 보고하면서 상황을 주시해 왔다"면서 "특히 '긴급 안보 상황 점검회의'를 통해 안보실과 국방부 및 군의 대응 상황을 점검하고 한반도 상황에 미칠 영향을 평가했다"고 했다. gomsi@newspim.com 2025-10-22 11:12
기사 번역
결과물 출력을 준비하고 있어요.
기사제목
기사가 번역된 내용입니다.
종목 추적기

S&P 500 기업 중 기사 내용이 영향을 줄 종목 추적

결과물 출력을 준비하고 있어요.

긍정 영향 종목

  • Lockheed Martin Corp. Industrials
    우크라이나 안보 지원 강화 기대감으로 방산 수요 증가 직접적. 미·러 긴장 완화 불확실성 속에서도 방위산업 매출 안정성 강화 예상됨.

부정 영향 종목

  • Caterpillar Inc. Industrials
    우크라이나 전쟁 장기화 시 건설 및 중장비 수요 불확실성 직접적. 글로벌 인프라 투자 지연으로 매출 성장 둔화 가능성 있음.
이 내용에 포함된 데이터와 의견은 뉴스핌 AI가 분석한 결과입니다. 정보 제공 목적으로만 작성되었으며, 특정 종목 매매를 권유하지 않습니다. 투자 판단 및 결과에 대한 책임은 투자자 본인에게 있습니다. 주식 투자는 원금 손실 가능성이 있으므로, 투자 전 충분한 조사와 전문가 상담을 권장합니다.
안다쇼핑
Top으로 이동