brunch

SKT 해킹, 유심 교체하라는 게 개수작인 이유

그 와중에 선택약관 동의를 받는다고?

by 멘아탄
Apr 28. 2025
말세다



국내 1위 통신사가 해킹당하도고 숨기는데 급급하다가 뒤늦게 걸려서 공론화되고 있는 이 상황. IT업계 종사자로서 부끄러운 현실이다.


아래 이미지는 모 커뮤니티에서 돌고있는 짤이다.


2025-04-28 14 57 52.png 이만한 하이퍼리얼리즘이 또 어디있을까



(우리나라에서) 대기업이 사과했다면 정말 큰일이라는 의미.


생각해보면 맞는 것 같다.

내 기억에 대기업이 언론에서 공식적으로 사과하는 모습은 과거 '가습기 살균제 사태'가 거의 마지막이었다. 그 이후로 대기업들의 수많은 악행? 불법? 등이 있었겠으나, 그게 대국민 사과로 이어지진 않았으니까.


사실 대기업 특성상 구성원이 많고 의사결정 과정이 복잡하기 때문에 사소한 사고들은 자주 발생한다. 그래서 사사건건 사과했다간 글로벌 기업간 경쟁력에서 뒤쳐질 수 있고, 도리어 전파낭비가 되어 보는이로 하여금 피로도를 높일 수도 있다. 물론 정작 대서특필되어야 할 사건사고가 그 안에 묻혀서 공론화되지 못할 가능성도 높고.


그래서 나는 대기업이 잘못했다고 사사건건 사과하는 게 옳은가? 에 대해선 다소 회의적이다.

그런데 지금 SKT는 사장단이 고개숙여 사과를 하고 있다.


maxresdefault.jpg
hqdefault.jpg?v=680b7b13
sddefault.jpg



처음엔 '해킹당한 것 자체' 때문에 사과하다가, 그로 인해 내놓은 대책도 어설퍼서 추가 사과를 하고 있는 촌극이 벌어지고있는거다. 우리나라 1위 통신사업자가 이런식으로 주먹구구식으로 일을 해온건 어제오늘 일만은 아니지만 이번엔 사안의 심각성을 너무 안일하게 생각했나? 싶은 아쉬움이 크다.


TMI : 나는 첫직장이 SK계열사였고, 그래서 자동으로? SK텔레콤으로 통신사를 이동해 가입했다. 그 이전엔 아이폰을 한국에 처음 들여온 KT를 줄곧 사용하고 있었지만 근무하던 판교 모 SK사옥에서는 KT 전화와 문자가 잘 안터졌다. ㅋㅋㅋ


어디 회식자리에서 얘기하면 '그게 말이 되냐' 라는 반응이 대부분이지만, 진짜였다. KT 사옥에서 SK텔레콤 가입자가 피해보고 있는지는 모르겠지만, 경쟁사 서비스라고 회사차원에서 서비스를 막아버리는 행태가 당시엔 잘못된 지 몰랐다. 신입사원 연수를 그룹사연수, 계열사연수 연달아 다녀와서인지 뼛속까지 SK인이었으니까.



그나저나 내가 이 글을 통해 지적하려는건 이런 자질구레한 가십거리가 아니다.

정신을 근본적으로 못차린 SKT의 행태에 너무 화가나는 이야기다.




대체 뭘 털렸길래 이렇게 난리?


현재 SKT에서 해킹을 당해 털린 정보는 공개하지 않았지만, 사람들이 추정하고 있는 내용은 있다. 아래 이미지는 여기저기 돌고있는 '유출 의심정보'인데, 저게 사실이라면 정말 문제가 된다. 저 중의 하나만 털려도 위험한걸 3개 모두 털렸다는 사실 때문이다.

2025-04-28 15 19 24.png



SK 해킹사태에서 털렸을거라 추정되는 정보 세가지. IMEI, IMSI, USIM인증키(Ki) 각각이 어떤 의미와 기능을 가지는지 간단하게 요약하면 아래와 같다. 그리고 각각의 정보가 해킹당했을 때 가능한 피해 시나리오도 함께 정리해봤다.

2025-04-28 15 23 38.png
2025-04-28 15 27 08.png


다소 어려운 기술적 이야기라 좀 더 쉽게 예를 들어 설명해보자면,
그냥 우리가 매일같이 사용하는 아이디, 비밀번호, 주소, 민증, 메일주소, 휴대폰번호, 휴대폰이 다 털린 셈이라 보면 된다.


우리가 아이디를 해킹당했다고 치자. 그럼 어떻게 하는가? 비밀번호를 바꾼다. 그럼 대부분의 상황은 종료된다. 왜냐면 한번 털린 비밀번호야 어쩔 수 없어도, 새로운 비밀번호는 훔쳐간 도둑이 모를테니까.


그런데 잠깐, 우리가 비밀번호를 바꿀 때의 절차를 생각해보자.

일단 '아이디'를 알아야 하고, 비밀번호를 찾기 위해 몇가지 정보(이름, 생년월일 등)를 입력해야 한다. 근데 그건 민증이 있으면 알 수 있다.


또는 '휴대폰 인증'을 통해 비밀번호를 새로 발급받을 수도 있는데, 위에서 예를 든 것처럼 '휴대폰번호, 휴대폰'이 모두 털린 상황이라면, 인증번호 6자리도 당연히 함께 털린 것이므로, 도둑이 마음만 먹으면 비밀번호도 반복적으로 자기껄로 바꿔갈 수 있다.


내 비밀번호가 털리면 뭘 할 수 있을까?

내가 도둑놈이라면 훔친 은행계좌부터 접근해서 내 비밀계좌로 돈을 송금해버릴거다. 근데 이게 어려운 건 '공인인증서'와 같은 2차 방어막 때문이다. 그런데 위와 같이 털릴거 다 털린 상황에선?


그 공인인증서도 도둑이 쉽게 발급받을 수가 있게 된다. 그럼 내가 돈을 빼가는지 도둑이 돈을 빼가는지 은행은 알아낼 방법이 없다. 송금할 때마다 비대면 인증을 할 것도 아니기 때문에.


결국 도둑은 내가 털린 정보를 가지고 인터넷상에서 하고싶은 것을 무엇이든 할 수 있는 상황이다. 그냥 어디 중국에 떠돌아다니는 아이디/비밀번호/생년월일 정도 레벨의 정보가 아닌거다. 그래서 SKT나 되는 대기업 중의 대기업이 굳이 머리를 숙여가면서까지 사과를 하는거다. 이와 같은 내용을 더 많은 사람들이 깊이 알게되어 분노가 폭발하기 전에 말이다.




SKT야, 그런데 진짜 미안한 거 맞니?


그런데 유심을 교체하는 과정을 쭉 따라해보니 내가 가장 불쾌하게 생각하는 프로세스가 하나 끼워져 있었다. '은근슬쩍 광고동의'하는 절차 말이다.


유심교체가 대두된 이유? 해킹당한 주체인 SKT가 통신 가입자들에게 "가입자님들, '주민번호'라도 바꾸면 몇가지 추가 피해를 주기에 진입장벽이 생기니, 제발 당장 '유심'이라도 교체해주세요" 라고 하는거다. 막상 대리점에 찾아가도 유심이 없는건 입아프니 더 말하고싶지도 않다.



우리 회사에서도 사내 공지를 통해 'SKT 가입자는 유심을 교체해주세요' 라고 떴길래 한번 해봤다.

물리 USIM(=유심칩) 을 eSIM 으로 바꾸는 작업을.

2025-04-28 15 47 47.png






그런데 웬걸, 그 과정에서 '이런저런 동의'를 해야하는 절차가 있었다. 뭐 '필수적으로 동의가 필요한 약관들이 있기에 그럴 수 있지만 여기엔 '선택약관'이 포함되는게 문제였다.

2025-04-28 15 53 37.png
2025-04-28 15 54 22.png
2025-04-28 15 54 28.png
보통 약관동의할 때 '전체약관동의'를 선택하는데, 그러면 '선택약관'도 자동으로 동의처리가 된다. 대표적인 다크패턴.



이걸 IT업계에선 '다크패턴'이라고 한다.

'전체동의' 한번 눌러서 진행하는 것은 유저 입장에선 편의성을 높이기 때문에 그 자체로는 문제가 없다. 그런데 이 '전체동의에 어떤 약관이 포함되는지'에 대한 설명이 부족한 것은 다크패턴에 해당한다. 유저가 '자기도 모르게 하는 행동'에 '실제로는 원하지 않을만한 의도'가 포함되기 때문이다.


'당신의 정보를 우리 자회사에 넘기겠으며, 시시때때로 광고문자를 보낼테니 양해해주십쇼.' 라는 내용에 그 어느 누가 '저를 위해 그런 혜택을 알아서 제공해주시다니.. 백번 동의합니다. 너무 감사합니다!' 라고 하겠는가.


실수로 동의했다고 해도 그걸 일일이 동의해제 하기도 어려울 뿐더러, 애초에 어디로 가야 동의철회를 할 수 있는지 아는 것도 불가능하다. 애초에 '무슨 동의가 포함됐었는지 알지를 못했으니까'.

그래서 Dark Pattern이라고 한다. (어둡게 숨겨서) 스리슬쩍 행동을 유도하는 패턴이라는 뜻으로.



백번 양보해서, 사업자이다보니 돈을 벌어야 하고, 그러다보니 아주 사소하게(?) 법을 위반하거나 법 위반까진 아니어도 권고사항을 어길 수 있다고 치자.


문제는 지금 대국민 사과까지 하는 마당에 저 패턴을 그대로 노출해놓았다는 사실이다. 저 선택약관에 포함되는 곳들은 (아마도 SK의 자회사들) 지금 쾌재를 부르고 있을거다. 이례적으로 수백만의 유저가 '알아서들 다크패턴에 넘어가 개인정보를 자발적으로 제공해줄 뿐더러, 광고성 정보제공에도 동의'를 해주고 있으니 말이다. 그리고 그걸 SKT라는 아버지회사가 책임지고 해주고있으니 얼마나 든든할까.


솔직히, 아직도 정신 못차린 양아X짓에 진절머리가 난다.



SK텔레콤, 블랙패턴의 대명사


SK텔레콤은 끝까지 책임을 다하겠다고 한다.

'유심보호서비스'를 제공하고, '그럼에도 피해가 발생하면 100% 책임'지겠다고 한다.


이 말이 얼마나 언어도단인지, SKT 직원쯤 된다면 잘 알거다. 굳이 SKT직원 아니더라도 기본적인 상식만 있어도 이 '조건부 책임'이 얼마나 면피성 사과인지 잘 알거다.

2025-04-28 15 44 39.png 진심어린 사과 잘 들었습니다


일단 애초에 '유심보호서비스'는 근본적인 대책이 아니다.

해외로밍이 자동 차단되기 때문에 해외를 자주 오가는 사람 입장에선 '괜한 불편 요소'가 생기는 셈이다. 그래서 로밍을 위해 잠시 유심보호서비스를 해제해야 하는 일도 생기는데 그 사이에 피해가 발생한다면? SK텔레콤은 책임질 명분이 사라진다. '서비스에 가입하셨음에도' 라는 단서조항 때문이다.


"우리는 분명 이거 가입하라 했어요. 근데 가입안된 상태에서 피해발생하면? 그건 당신 책임이죠." 라는 소위 '뒷짐진 사과'와 100% 동치이다.


그리고 '유심을 무상 교체'해주겠다고 한다.

이건 너무 오랜기간 갑의 위치에 있어서, 심지어 피해자들에게도 갑의 위치에 있겠다는 스탠스로 해석된다. 아래와 같은 사례는 깊이 생각해보지 않아도 쉽게 예상되는 시나리오다.

2025-04-28 16 15 39.png 출처 : https://news.mt.co.kr/mtview.php?no=2025042714384696928



SKT 가입자는 3,000만명이 넘는데 당장 확보하고 있는 유심은 100만개 수준이라고. 빠르게 확보한다고 해도 3,000만개나 되는 유심을 다 교체해주는건 물리적으로 불가능하다. 말인 즉슨, '애초에 100% 교체해줄 생각이 없었다' 가 더 상황에 맞아 떨어진다. 사과 이후 대처에까지 블랙패턴을 심어놓은 점에 박수를 보낸다.



사실 SKT가 이런 행태를 해온 것은 하루이틀이 아니다.

대표적으로 PASS 라는 인증앱도 그 존재 자체가 다크패턴이다. 써보면 알겠지만 문자로 인증하는 것 대비 편한 것이 1도 없는데, 인증하는 과정에서 '그놈의 선택약관동의'가 여기저기 끼어들어가있기 때문이다.

이건 시간이 되면 따로 다루게 될 것 같다.

vJEP4NfXYg_hXQp-BSllhNKL_NQCO_L3ewuflsrcdNnXMJ46gO8JjGFXBP9CASQhWrg=w240-h480-rw 보기만 해도 스트레스인 PASS 앱



그리고 (이건 SKT만의 문제는 아니지만) 5G라고 비싸게 팔아놓고, 정작 5G 보다 LTE를 훨씬 많이 써야만 하는 현실도 대국민 다크패턴이었다. 백번 양보해 5G망을 깔 땐 그게 될 줄 알았는데, 실제로 서비스화 하다보니 물리적 한계와 리소스 상 이슈가 있더라. 정도의 이유가 있을 법도 하다. 그런데 그럴거면 '제대로 검토하지도 않고 5G가 되면 세상이 바뀔 것처럼 홍보해대지 말았어야' 한다. 그리고 그걸 나중에라도 깨달았다면 요금을 LTE 대비 비싸게 받질 말았어야 한다. 하나의 소비자로서 나는 내가 지불한 요금제에 걸맞는 서비스를 받길 원할 뿐이다.


해킹을 당해서 내 정보가 중국 어딘가에 들어가있다는 불쾌함보다, '개인정보 보호라는 서비스'도 포함된 요금이 제 값을 못한다는 언짢음이 더 크다.


인간은 망각하는 존재다.

망각이라는 속성이 안타까울 때도 있지만, 대부분은 축복이다.

특히 이번 SKT의 해킹사태에서처럼, '대기업의 사과' 사건에서는 망각이 커다란 호재다.

시간이 지나면 우리는 또 이 사건을 잊어버릴거다.

글로 써놓지 않고선 말이다.








keyword
멘아탄 소속 N포털사 직업 기획자 프로필

IQ 156의 네이버 기획자가 생각하는 법

구독자 89
작가의 이전글왜 자꾸 귀찮은 회원가입을 유도할까?