[덕] SKT 보안 사고 원인과 과제
인간 중심 보안으로 거듭나야 (25.05)
최근 발생한 SK텔레콤(SKT)의 대규모 유심(USIM) 정보 유출 사고는 우리 사회에 큰 충격을 안겼다. 개인의 통신 정보뿐 아니라 금융 거래의 안전까지 위협할 수 있는 민감 정보가 유출되었다는 점에서 사안의 심각성은 매우 크다. 이 사고의 정확한 원인을 진단하고, 사후 처리 과정에서 드러난 문제점을 분석하여, 재발 방지 등 근본적인 해결 방안을 모색해야 한다.
사고의 원인과 피해
SKT 유심 정보 유출 사고의 직접적인 원인은 SKT의 핵심 가입자 정보 서버(HSS)에 설치된 악성코드로 밝혀졌다. 민관합동조사단의 중간 조사 결과에 따르면, 이 악성코드는 'BPF도어(BPFdoor)'라 불리는 고도화된 백도어 유형으로, 이미 2022년 6월 15일경 처음 시스템에 설치되어 약 3년간 잠복하며 활동했을 가능성이 제기되었다. 해커는 외부 인터넷망과 연결된 장비를 통해 내부망으로 침투한 것으로 추정되며, 이 악성코드는 네트워크 방화벽을 우회하는 기능을 가진 것으로 알려졌다.
이로 인해 SKT 전체 가입자 수에 육박하는 약 2,700만 건의 가입자 식별키(IMSI) 기준 유심 정보가 유출된 것으로 확인되었다. 유출된 정보에는 가입자 전화번호(MSISDN), 유심카드 일련번호(ICCID), 유심 인증키(K Value) 등 유심 복제에 악용될 수 있는 민감 정보 4종과 관리용 정보 21종이 포함되었다. 더욱이 초기 발표와 달리 단말기 고유식별번호(IMEI)의 유출 가능성도 배제할 수 없으며, 일부 감염 서버에서는 가입자의 이름, 생년월일 등 개인정보까지 함께 유출된 정황도 드러나 피해 범위와 심각성을 더했다.
사후 처리 과정에서 나타난 문제점
SKT의 사후 처리 과정에서는 여러 문제점이 노출되며 고객들의 불안과 불신을 키웠다.
첫째, 늑장 공지와 신고 지연이 가장 큰 문제로 지적된다. SKT는 2025년 4월 18일 오후 6시경 네트워크 트래픽 이상 징후를 처음 인지하고, 같은 날 밤 11시경 악성코드 및 파일 삭제 흔적을 확인하여 내부적으로 해킹 사실을 파악했음에도, 나흘이 지난 4월 22일에야 고객에게 공지하고 한국인터넷진흥원(KISA) 등 관계 기관에 신고했다. 이는 정보통신망법상 침해사고 인지 후 24시간 이내 신고 의무를 명백히 위반한 것이다.
둘째, 정보 축소 및 소극적 초기 대응도 비판을 받았다. SKT는 초기 공지에서 "지금까지 해당 정보가 실제로 악용된 사례는 확인되지 않았다"는 입장을 반복하며 사태의 심각성을 축소하려 한다는 인상을 주었다. 또한, IMEI 유출 가능성을 초기에 부인했다가 조사 과정에서 번복하는 등 정보 전달에 혼선을 빚었다. 피해 예방 조치로 유심 전면 교체 이전에 기존 무료 부가서비스인 '유심보호서비스' 가입을 주된 대안으로 제시했으나, 이 서비스는 IMEI 정보까지 유출되었을 경우 실효성이 떨어지고 해외 로밍 중에는 무방비 상태가 되는 한계가 지적되었다.
셋째, 고객 중심적이지 못한 위기 관리 태도 또한 문제였다. 피해 고객에 대한 적극적인 소통이나 구체적인 보상안 마련보다는 홈페이지와 앱을 통한 일방적 공지 위주로 대응하여 '수준 이하의 위기대응'이라는 혹평을 받았다.
해결 방안: 인간 중심 보안 및 문화 구축
이번 SKT 유심 정보 유출 사고는 단순한 기술적 문제를 넘어 관리적, 문화적 허점이 복합적으로 작용한 결과로 보아야 한다. 따라서 재발 방지를 위해서는 기술적 보완과 함께 인간 중심 보안 및 문화 구축 관점에서의 근본적인 변화가 시급하다.
1. 투명하고 신속한 소통 문화 정착: 사고 발생 시 정보를 은폐하거나 축소하려는 시도는 더 큰 불신을 초래한다. 보안 사고 보고를 꺼리는 원인은 책임 추궁에 대한 두려움, 평판 하락 우려, 미흡한 사고 대응 체계 등 다양한 이유가 있자만, 이유 여하를 막론하고 사고 발생 사실을 신속하고 투명하게 공개하고, 고객 및 이해관계자와의 적극적인 소통 채널을 마련하여 신뢰를 회복하는 문화를 정착시켜야 한다.
2. '처벌'이 아닌 '학습과 개선' 중심의 'No Blame' 문화 조성: 보안 사고 발생 시 특정 개인이나 부서에 책임을 전가하고 처벌하는 데 집중하기보다는, 사고의 근본 원인을 철저히 분석하고 시스템적 개선점을 도출하는 데 초점을 맞추는 'No Blame' 문화를 조성해야 한다. 이를 통해 구성원들이 문제를 발견했을 때 처벌에 대한 두려움 없이 적극적으로 보고하고, 해결책을 모색하며 조직 전체의 학습 기회로 삼도록 장려해야 한다.
3. 전사적 보안 의식 내재화 및 인간 중심 보안 설계: 보안은 특정 부서의 전유물이 아니라 모든 임직원의 책임이자 경영의 핵심 요소라는 인식을 확립해야 한다. SKT가 자체적으로 정보보호 정책을 수립하고 있음에도 불구하고 사고가 발생한 것은, 정책이 실제 업무 현장의 구성원들에게 충분히 내재화되지 못했음을 시사한다. 따라서 인간 행동 특성을 고려한 보안 시스템과 프로세스를 설계하고, 직관적이고 사용하기 쉬운 보안 도구를 제공하며, 형식적인 교육이 아닌 실제 업무와 연관된 시나리오 기반의 실전형 훈련을 통해 보안 의식을 생활화해야 한다. 또한 사고 대응 매뉴얼 정비 및 정기적 훈련 등 대응 체계를 강화해야 한다.
4. 경영진의 강력한 리더십과 책임 경영 강화: 최고경영진부터 보안의 중요성을 최우선 과제로 인식하고, 보안 강화를 위한 실질적인 투자와 지원을 아끼지 않아야 한다. 또한, 사고 발생 시 책임을 회피하거나 축소하려는 태도를 버리고, 명확하게 책임을 인정하며 고객 피해 구제에 적극적으로 나서는 책임 경영의 모습을 보여야 한다. 이는 법적 의무를 넘어선 선제적이고 포괄적인 고객 보호 조치로 이어져야 한다.
5. 지속적인 보안 거버넌스 강화: 최고정보보호책임자(CISO)를 중심으로 독립적인 보안 전담 조직의 역할과 권한을 강화하고, 정기적인 시스템 점검 및 취약점 분석, 최신 위협 정보 공유, 협력사까지 포함하는 공급망 전체의 보안 관리 체계를 구축해야 한다.
결론적으로, SKT 유심 정보 유출 사고는 우리 사회에 기술만으로는 완벽한 보안을 달성할 수 없다는 교훈을 남겼다. 진정한 보안은 최첨단 기술의 도입과 함께, 조직 구성원 모두가 보안의 중요성을 인식하고 자발적으로 참여하는 성숙한 보안 문화가 뒷받침될 때 비로소 실현될 수 있다. SKT는 이번 사태를 뼈아픈 교훈으로 삼아, 인간 중심의 보안 철학을 바탕으로 고객의 신뢰를 회복하고 더욱 안전한 정보통신 환경을 구축하는 데 총력을 기울여야 할 것이다.
