2025년 04월 28일(월) 09:45

지난 25일 서울시내 SK텔레콤 매장인 T월드를 찾은 고객이 교체한 유심 카드를 전달받고 있다.SK텔레콤은 최근 발생한 가입자 유심 정보 유출 사고와 관련해 유심 무료 교체를 실시한다. SK텔레콤은 오는 28일 오전 10시부터 가입자들에게 유심(eSIM 포함) 무료 교체서비스를 제공할 예정이다. 유심 교체를 희망하는 모든 가입자를 대상으로 진행되며, 전국 T월드 매장과 공항 로밍센터에서 이뤄진다. 교체 대상은 지난 18일 자정 기준 이동통신 가입자(1회 한정)로 일부 워치 및 키즈폰 등은 제외된다. 또 지난 19일부터 오는 27일까지 자비로 유심을 교체한 가입자에게는 소급 적용이 된다. 가입자가 이미 납부한 유심 교체 비용은 별도로 환급된다. 뉴시스

SK텔레콤의 유심(USIM) 정보 서버 등 핵심 인프라가 해킹당한 가운데, 해당 서버들이 현행 정보통신기반보호법상 주요정보통신기반시설로 지정되지 않은 것으로 나타났다. 그동안에는 네트워크 장비를 중심으로 지정이 돼 왔었는데, 이번 사태를 계기로 추가 지정이 필요하다는 목소리가 나온다.

28일 국회 과학기술정보방송통신위원회 최민희 위원장실이 과학기술정보통신부로부터 제출받은 자료에 따르면 이번에 해킹 피해를 입은 SK텔레콤의 홈가입자서버 (HSS), 가입자 인증키 저장 시스템, 유심 관련 핵심 서버 등은 ‘국가·사회적으로 보호가 필요한 주요정보통신기반시설’로 지정되지 않은 상태였다.

정부는 정보통신기반보호법에 따라 통신·금융·에너지 등 국가 핵심시설을 주요정보통신기반시설로 지정하고 관리기관의 보호대책 이행을 점검하고 있다.

하지만 현행 제도상 시설의 세부 지정 범위는 1차적으로 민간기관이 정하고, 정부는 타당성 검토 및 필요시 조정만 가능해 사실상 ‘민간 자율’에 맡기고 있는 구조다.

이로 인해 가입자 핵심정보가 저장된 서버가 정부의 직접 점검이나 기술 진단 대상에서 빠져 있었던 것이다.

실제 SK텔레콤은 최근 3년 간 해킹메일, 디도스 등 위기대응 훈련에만 참여했을 뿐 이번 해킹 대상이 된 서버에 대해선 정부 주도의 기술점검, 침투 테스트를 받은 이력도 없는 것으로 파악됐다.

과기정통부에 따르면 주요정보통신기반시설 지정은 주요정보통신기반시설 지정위원회에서 매년 논의를 진행한다. 필요성이 제기되면 대상 사업자와의 논의도 거치게 된다. 통상적으로 매년 하반기 논의를 시작해 이듬해 상반기에 지정된다.

올해도 하반기 논의가 시작되는 가운데 이번에 해킹 당한 SK텔레콤의 서버 등도 우선 검토 대상에 오를 것으로 전망되고 있다. 현재 KT와 LG유플러스도 동일하게 관련 서버가 포함돼 있지 않은 상황이다.

이에 이번 회의에서는 어느 범위까지 통신사 인프라를 주요 정보통신기반시설로 지정할 지에 대한 논의가 이뤄질 것으로 보인다. 통신사의 경우 그간 이동전화 시스템을 중심으로 지정을 해온 것으로 알려졌다. 정보통신기반시설 지정 대상은 보안 등을 위해 대외적으로 공표되지 않는다.

최민희 위원장은 이번 정보 유출 사고로 가입자 식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 이동통신 서비스 본질에 해당하는 정보가 유출된 것으로 확인됐다고 지적했다.

전문가들도 “유심 정보 유출은 단순 개인정보를 넘어 심 스와핑, 명의도용, 금융자산 탈취 등 2차, 3차 피해로 확산될 수 있다”며 우려를 표하고 있다.

이에 대해 최 위원장은 “HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도 현행 제도의 허점으로 인해 주요정보통신기반시설 지정조차 받지 못하고 있었다”며 “정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고, 실질적인 보호대책을 마련해야 한다”고 강조했다.

한편 정부는 현재 사고 경위를 조사 중이며, SK텔레콤도 유심 무상교체, 이상탐지시스템 (FDS) 강화 등 추가 조치를 시행 중이라고 밝혔다.