무너진 기본, SK 유심 DB 해킹 사건 문제점

자유

정보시스템을 설계하고 운영하는 데 있어, 보안은 선택이 아니라 의무다. 특히 수천만 국민의 통신 정보를 다루는 통신사는 그 의무가 몇 배는 더 무겁다. 그런 점에서 최근 불거진 SK텔레콤의 유심(USIM) 정보 DB 해킹 사건은 단순한 보안사고를 넘어, 거대한 시스템 신뢰의 붕괴로 읽힌다.

나는 이 사건을 접하며 하나의 질문을 던졌다. “과연, 가장 기본적인 보안 수칙은 지켜졌는가?” 시스템을 설계하는 사람이라면 누구나 알고 있는 최소한의 3가지를 떠올려본다.

첫째, 민감한 데이터는 반드시 암호화하여 저장해야 한다. 이는 보안의 시작이자 핵심이다. 유심 정보는 이름, 전화번호, 식별번호 등 사용자 인증과 관련된 중요한 정보다. 설령 외부 공격자가 침투하더라도, 암호화되어 있다면 유출 피해는 최소화된다. 그런데 SK는 이 기본을 지키지 않았다. 명확히 말하자면, 유심 데이터가 평문 혹은 취약한 암호화 방식으로 저장되었다는 정황이 드러났다. 이것 하나만으로도 이 사건은 ‘사고’가 아닌 ‘관리 부실’로 분류돼야 한다.

둘째, 탐지용 ‘언더커버’ 데이터 삽입이다. 이는 일부러 의미 없는 더미 정보를 시스템에 심어놓고, 외부 유출 시 이를 단서로 삼아 유출 여부를 판별하는 기법이다. 금융기관, 보안업체, 국가기관에서 흔히 쓰이는 방식이며, 시스템이 해킹당했는지를 조기에 감지하는 역할을 한다. 만약 SK가 이 방식이라도 도입했다면, 피해 규모를 지금처럼 키우지는 않았을 것이다.

셋째, DB 트래픽 이상 감지 시스템이다. 평소보다 과도한 쿼리 요청이나 데이터 다운로드가 일어나면 즉시 비상알람을 띄워야 한다. 동시에 로그 추적과 사용자 행위 기록을 바탕으로 해킹 경로를 실시간 역추적하는 체계가 함께 작동해야 한다. 이는 보안 인프라의 ‘자동방어 본능’ 같은 것이다.

SK는 이 세 가지 중 어느 하나라도 충실히 수행했다면, 이번 사태는 막거나 최소화할 수 있었을 것이다. 그러나 정황상 이들 모두를 등한시한 가능성이 크다. 특히 첫 번째, 암호화 저장을 하지 않았다는 사실은 단순한 실수가 아니다. 이는 IT 보안의 입문서에조차 명시된 수준의 기본 수칙이며, 통신사로서의 자격을 묻게 할 만한 중대한 과오다.

이제 우리는 묻지 않을 수 없다. 통신 인프라를 쥔 대기업의 보안 의식이 이 정도라면, 과연 우리는 어떤 시스템 위에 서 있는가? 신뢰는 기술로 구축되지만, 기술은 의지 위에 세워진다. 책임 있는 조직이라면 이번 사고의 본질을 기술적 실수로 축소하지 말고, 그 내부의 안이함과 통제 부재까지 투명하게 드러내야 한다.

정보는 곧 권력이며, 유심은 그 정보의 열쇠다. 그 열쇠가 이렇게 허술하게 보관되고 있었다는 사실은 국가안보와도 직결된 문제다. 이번 사건을 단순 해킹사건이 아니라 ‘신뢰 붕괴’의 신호탄으로 인식해야 한다. 그리고 우리는 기본을 지키지 않은 자들에게 더 이상 면죄부를 주어서는 안 된다.