X
지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. /사진=연합뉴스
제보팀장 류승우 기자 | 제보팀장 류승우 기자 | SK텔레콤이 2년여 전부터 시작된 해킹 피해를 사실상 방치했다는 정황이 드러나면서, 고객 개인정보 유출 우려가 눈덩이처럼 커지고 있다. 가입자 단말기 고유번호(IMEI)와 개인정보가 저장된 서버까지 감염된 것으로 드러났지만, SKT는 4개월 분량의 로그만 보관해 그 이전 피해 여부는 확인조차 못하는 실정이다.
IMEI 포함된 서버까지 뚫려…SKT “파악된 피해는 없다”
SK텔레콤과 과학기술정보통신부가 꾸린 민관합동조사단은 지난달에 이어 이달 19일 2차 조사 결과를 발표하며 감염 서버가 18대, 악성코드가 21종에 달한다고 밝혔다. 특히 새로 확인된 감염 서버 중에는 IMEI, 이름, 생년월일, 전화번호, 이메일 등 핵심 개인정보가 저장돼 있었던 것으로 드러났다.
조사단은 "IMEI가 포함된 29만여 건의 개인정보가 2023년 12월 3일부터 2024년 4월 24일까지는 유출되지 않았다고 확인했지만, 2022년 6월부터 2023년 12월 초까지는 로그 기록이 없어 확인이 불가능하다"고 설명했다.
복제폰은 불가능?…전문가들 “심스와핑 위험 커져”
SKT는 비정상 인증 차단 시스템(FDS)을 최고 단계로 격상했으며, 단말기 복제 가능성은 낮다고 주장하고 있다. 그러나 전문가들은 단말기 고유식별번호(IMEI)가 유출된 이상, 심스와핑 등 2차 피해 우려가 현실이 될 수 있다고 경고한다.
염흥열 순천향대 교수는 “IMEI까지 유출됐다면 유심보호서비스도 무력화될 수 있다”며 “스마트폰 복제 자체는 어렵더라도 정교한 사기 시도에 사용될 수 있다”고 지적했다.
X
'SK텔레콤은 끝까지 책임을 다하겠습니다'. /사진=연합뉴스
“2차 피해 가능성 커…평문 저장, 로그 축소는 법 위반 소지”
해킹된 서버의 개인정보가 암호화되지 않고 ‘평문’으로 저장됐다는 사실도 논란을 키우고 있다. 김희섭 SKT PR센터장은 “암호화는 법적으로 의무인 부분과 자율인 부분이 있다”며 “모두 암호화할 경우 서비스 장애 가능성도 있다”고 해명했다. 그러나 전문가들은 “이 같은 구조 자체가 개인정보보호법 취지에 어긋난다”고 꼬집는다.
또한 SKT가 로그를 단 4개월치만 보관한 점 역시, 사후 추적이 불가능한 구조를 만든 ‘관리 부실’ 사례로 지적된다.
과기부 “복제폰 물리적으로 불가능”…조사단은 계속 확인 중
류제명 과기정통부 네트워크정책실장은 “복제폰은 제조사 판단상 물리적으로 불가능하다”며 “과도한 불안을 자제하라”고 밝혔다. 그러나 동시에 “SKT에는 보상책 마련을 요구한 상태”라고 덧붙였다.
한편 조사단은 여전히 “100% 확신할 수는 없다”며 조사를 계속하고 있다.
"피해 없다"는 SKT…그러나 가입자 신뢰는 이미 ‘유출’됐다
SKT는 공식적으로 “현재까지 확인된 피해는 없다”는 입장을 유지하고 있지만, 이미 해킹 공격이 2년 넘게 진행된 데다, 가입자 정보가 평문으로 저장되고 로그 기록조차 충분하지 않았다는 사실만으로도 가입자의 신뢰는 뿌리째 흔들리고 있다.
문송천 KAIST 명예교수는 “해커가 개인정보를 재구성해 표적을 추리는 단계일 수 있다”며 “IMEI 유출은 시작일 뿐, 금융 사기 등 2차 피해로 이어질 가능성을 경계해야 한다”고 경고했다.