소 잃은 고객이 외양간까지 고쳐야 하나…SKT 유심 유출이 남긴 과제[기자수첩-ICT]

유영상 CEO가 25일 진행된 '고객보호 조치 강화' 설명회에서 사과 인사를 하는 모습ⓒSK텔레콤

"깊은 유감과 책임을 느낀다."

19일 SK텔레콤 고객 유심 정보 유출 사건이 발생한지 엿새 만인 25일 유영상 CEO(사장)가 공식석상에서 고개를 숙였다. 2300만명의 가입자를 거느린 국내 최대 통신사에서 발생한 해킹 사고여서 충격은 더욱 크다.

유출된 것으로 의심되는 유심 정보는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키로 파악된다. 이 정보 만으로는 사용자의 모든 신원정보 또는 금융정보에 곧바로 접근할 수 없지만 복제폰 개통, 인증번호 탈취, 보이스피싱 등 2차 피해 가능성을 배제하기 힘들다.

내 정보가 유출됐는지 현재까지도 알 수 없는 고객들은 알아서 유심칩을 교체하거나 유심보호서비스를 가입하는 형편이다. 온라인 커뮤니티에서는 "내 휴대폰으로 가상자산이 털리면 어떻게 하냐"는 글도 올라온다. 정보 보안 불똥이 기업들로 튀면서 일부는 유심 교체를 독려하고, 몇몇 금융기관은 SK텔레콤 기반 인증을 제한하기 시작했다. 파급 효과가 개인을 넘어 산업·경제적으로 확산되는 양상이다.

전국민이 들썩이자 SK텔레콤은 25일 가진 설명회에서 FDS(비정상 인증 차단 시스템)와 유심보호서비스만으로도 정보 유출 차단이 가능하지만 고객 불안이 가중되고 있는 만큼 유심 무료 교체를 지원하겠다고 밝혔다. 다만 정확한 해킹 경로와 침입 방식은 민관합동조사단의 조사 결과를 통해 추후 공개한다고 했다.

CEO가 국민에게 사과하고 임원들이 후속 대책을 내놓겠다고 재차 강조했지만 안심하는 가입자는 거의 없다. 이날 가진 설명회에서도 SK텔레콤은 정부와 유관기관, 기업으로 꾸려진 조사단에서 정보 유출 경위와 유출 규모를 파악한 뒤 대책을 수립하겠다는 답변을 반복했다. 설명회 자체도 국민들의 원성을 우선 달래고 안심시키기 위해 마련됐다는 인상이 다분했다.

그도 그럴 것이, 개별 통신사 차원에서 단독으로 내놓을 대책이란 게 그 이상 뭐가 있을지 떠오르질 않는다.

전국민을 불안에 떨게 만드는 통신사 해킹 사고는 이번이 처음이 아니다. 2012년 SK텔레콤·KT 협력업체 직원이 가입자 개인정보 20만건을 유출했고 2년 뒤 2014년 KT 홈페이지 해킹으로 가입자 1200만명의 개인정보가 유출됐다. 2년 전인 2023년에는 LG유플러스 가입자 29만명의 이름, 생년월일, 전화번호 등이 유출됐다.

그때마다 비상대책반과 민관 합동 조사단이 꾸려지고 관계 당국이 시정명령과 함께 과징금 등 행정 처분을 내리는 사례를 반복했지만 2025년에도 여전히 한국은 정보 유출에서 자유롭지 못하다.

이는 민간기업 단위의 정보 보안 장치로는 한계가 있음을 여실히 보여준다. 더욱이 유심 무상 교체, 유심 보호 서비스는 임시방편에 불과하다. 그것도 소(정보) 잃은 고객이 외양간(유심 교체 및 서비스 가입)마저 고쳐야하는 현실이다.

해커 소행이든, 아니든 문제가 발생할 때 마다 유심을 갈아끼우는 것으로 끝낼 일은 아니다. 같은 문제를 반복하지 않기 위해서는 정보 유출이 반복되는 구조적 원인을 뜯어보고 실질적인 보호 대책을 마련하는 데 민관이 공동으로 나설 필요가 있다.

점점 더 많은 신원 확인, 인증 절차가 디지털로 흡수되고 있다. 통신망 시스템을 관리하는 통신사들은 국민 정보를 관리하고 있다는 위치에 걸맞게 보안 기준과 기술을 새롭게 정비해야 한다. 필요하다면 통신 3사가 공동으로 보안 체계 개선에 협력하는 것도 방법이다.

정부도 관리·점검에 그치는 것이 아니라 정부 차원의 인증 체계 정비에 적극적으로 임해야 한다. 앞서 미국 연방통신위원회(FCC)는 심(SIM) 스와핑 사기를 방지하기 위해 SIM 변경 요청 시 안전한 신원 인증 절차를 반드시 도입해야 한다는 가이드라인을 마련한 바 있다. 심 스와핑은 유심 정보를 도용해 복제한 뒤 금전적·사회적 피해를 일으키는 것을 말한다.

정보 유출은 전 국민이 피해자이며, 후폭풍이 언제든 나타날 수 있다는 측면에서 기업과 정부 모두 무거운 책임감을 가져야 한다. SK텔레콤 유심 정보 유출은 한 통신사의 해프닝이 아닌, 한국 보안 체계의 구조적 결함을 드러낸 사건이다. 이번 일을 계기로 인증 절차와 내부 통제를 근본부터 손보지 않는다면, 디지털 강국이라는 이름은 공허한 구호에 그칠 것이다. SK텔레콤이 약속한 "국민 신뢰 회복"은 민관이 함께 증명해야 한다.