전례 없는 대규모 개인정보 유출 사고

 지난달 22일 통신사 ‘SK텔레콤(이하 SKT)’에서 가입자 인증 서버 시스템(이하 HSS)에 침입한 해커의 악성코드로 2,500만 명의 △전화번호(MSISDN) △국제이동통신가입자식별번호(IMSI) △가입자 인증키(Ki) 등을 포함해 유심 복제에 활용될 수 있는 정보가 유출된 사실이 알려졌다. 해당 정보들은 통신 인증의 핵심 정보로 금융 인증, 본인 확인 등에 악용될 위험이 크다고 지적된다. 이에 본지는 개인정보 유출의 심각성에 대해 자세히 알아보기 위해 본교 김도훈(SW안전보안학과) 교수 및 김희열(SW안전보안학과) 교수와 인터뷰를 진행했다. 김도훈 교수는 “유심 정보의 경우 통신사 인증 체계의 핵심이므로 명의 도용이나 심(SIM) 스와핑 공격의 기반이 될 수 있다”며 문제의 심각성을 강조했다. 실제로 이번 사태의 피해 사례는 계속되고 있다. 지난달 26일부터 ‘SKT 개인정보유출 집단소송카페’에는 갑자기 통신 불능이 되거나 유심 해지 상태가 되는 등의 피해사례가 420건 넘게 신고됐다. 뿐만 아니라 이번 사태는 금융권의 문제로까지 퍼질 수 있다. 이에 대해 본교 김희열 교수는 “최종 결제와 관련된 인증 정보가 유출된 수준으로 복제 심(SIM)을 통해 사용자를 사칭해서 금융자산을 탈취하는 공격이 발생할 수 있다”고 말했다. 때문에 △NH농협생명 △신한라이프 △KB라이프 등은 선제적인 피해 예방을 위해 SKT 휴대폰 인증을 제한한 바 있다.

 한편 해당 사태를 통해 가장 심각한 피해인 유심 복제가 이뤄질 가능성이 존재하나, 일부 전문가들은 이에 대해선 부풀려진 면이 있다고 전했다. 카이스트 김용대 교수는 뉴스웍스와의 인터뷰를 통해 “복제 심(SIM)이 사용되더라도 즉각 탐지가 가능하고 비정상 인증 탐지(FDS) 시스템으로 차단할 수 있다”고 밝혔다.

이게 무슨 업계 1위 기업이야

 하지만 소비자들이 비판한 부분은 이러한 피해의 불안감보다 SKT의 대응이다. SKT는 지난달 18일 오후 6시 최초로 9.7GB 용량 파일 이동을 감지했고 다음날 유심 정보 유출 사실을 내부적으로 확정했다. 하지만 그로부터 3일 후에야 홈페이지에 ‘유출된 것으로 추정된다’는 내용의 전체 공지를 올렸으며, 정보 주체에게는 개별 통지하지 않아 디지털 취약 계층의 경우 피해 사실조차 인지할 수 없었다. 이후 ‘유심보호서비스’ 가입을 안내하고 전 고객을 대상으로 유심 교체를 무상으로 실시하겠다고 밝혔으나, 해외 로밍을 이용하면서 유심보호서비스를 제공받는 것은 불가능했다. 유심 재고는 5월 말까지 500만 개를 추가 확보한다고 하더라도 가입자에 비해 턱없이 부족했다. 더불어 지난 8일 국회 과학기술정보방송통신위원회 회의에서 열린 청문회에서 위약금 면제에 대한 질의가 이어졌으나 SKT 유영상 대표이사는 “종합적으로 검토하겠다”며 반복적으로 확답을 미뤘다. 이에 대해 김희열 교수는 “사고 방지와 피해자 보호보다 보상 비용 회피에 초점을 둔 접근”이라며 “SKT가 기업의 보안 책임과 사회적인 책무를 저버린 처사”라고 밝혔다.

정부마저 안일한 개인정보보호

 SKT의 미흡한 대처뿐만 아니라 정부의 대응 또한 논란이 되고 있다. 한국인터넷진흥원(이하 KISA)의 ‘봐주기식 대응’ 논란이 불거진 것이다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 침해 사실을 안 시점부터 24시간 내 과학기술정보통신부장관 또는 KISA에 신고하도록 규정하고 있다. 이번 SKT는 유심 해킹에 대한 ‘최초 감지 시점’이 아닌 ‘유출 사실 확정 시점’을 기준으로 신고했기 때문에 법적 기한을 지켰다고 해명했다. KISA는 이 같은 논란이 설명 부족에서 비롯된 것으로 보고 재발 방지 대책을 마련하겠다고 밝혔다. 또한 과학기술정보통신부 유상임 장관은 SKT도 ‘해킹 피해자’라고 주장하는 등 회사가 책임져야 할 정보보호 책임을 낮추는 듯한 입장을 내비쳤다. 김도훈 교수는 “통신사는 단순한 민간 기업이 아닌 국가 통신 인프라를 운용하는 핵심 주체”라며, “SKT의 태도는 기업 윤리뿐 아니라 공공 책임 측면에서도 부적절하다”고 평가했다. 덧붙여 이번 사건은 단순한 정보 유출을 넘어 기업의 책임성 그리고 국민의 신뢰를 시험하는 중요한 계기가 됐다며 향후 법적·제도적 보완과 함께 SKT의 책임 있는 후속 조치가 반드시 요구돼야 한다고 답했다.

과거에서부터 현재까지 개인정보보호의 상태는

 이와 같은 개인정보 유출 사고는 매년 늘어나는 추세다. 지난 3년간 개인정보보호위원회에 접수된 유출 신고는 △지난 2022년 167건 △지난 2023년 318건 △작년 307건이었다. 개인정보 유출 사고는 지난달 30일 아르바이트 구인·구직 플랫폼 ‘알바몬’에서도 발생한 바 있다. 유출된 2만 2,473건의 이력서 정보는 △성명 △주소 △경력 등 민감한 인적 정보가 포함돼 스미싱, 취업 사기에 쉽게 이용될 수 있다. 수차례 이력서를 내고 면접을 보는 취업 준비생(이하 취준생) 입장에선 ‘합격했다’거나 ‘면접을 보러 오라’는 문자를 쉽사리 외면할 수 없기에 그들의 절박한 심정을 범죄의 표적으로 활용한 것이다. 알바몬은 이 사실을 유출 대상자에게 개별 통보하고 10만 원 상당의 보상을 마련할 것이라고 밝혔다. 이에 대해 피해자들은 보상액에 대한 불만뿐 아니라 ‘정보가 유출된 것에 대해선 어떠한 대책이 없는 거냐’ 등의 근본적인 해결 방안에 대한 요구를 드러냈다. 

 알바몬에 앞서 취업포털 ‘인크루트’도 지난 3월 이와 같은 개인정보 유출 사건이 일어났다. 인크루트는 ‘취업 사기 주의 및 대응 조치 안내’라는 제목으로 이메일을 발송해 이용자를 대상으로 취업을 빌미 삼아 범죄를 시도한 사례를 알렸다. 취준생들의 개인정보가 범죄 조직이 불법 대출을 받거나 대포통장 또는 신용카드를 만드는 등 금융 범죄에 악용될 가능성이 있다는 내용이다. 인크루트는 지난 2023년에도 해커에게 대규모 무작위 로그인을 시도하는 공격을 당했으나 차단 정책 등을 실행하지 않았다. 이에 개인정보 3만 5,000여 건이 유출돼 과징금 7,060만 원을 부과받은 바 있다.

이러한 사태의 원인은 어디에

한국에서 개인정보 유출 사건이 끊이지 않고 계속되는 이유는 무엇일까. 김도훈 교수는 “사이버 공격 기법 고도화에도 불구하고 기술적 대응 수준은 그 수준에 미치지 못하고 있다”며 기술적 측면을 문제로 지적했다. 또한 이번 SKT의 사고 원인도 다양한 종류와 기법의 악성코드에 대한 사이버 대응체계가 미흡하게 구축됐다는 점을 꼽았다. 덧붙여 내부 시스템 체계에 대한 생애 주기적 체계 관리의 부실함을 원인으로 예측했다. 실제로 민관 합동조사단이 확인한 결과 SKT의 HSS 3대에서 추가로 악성코드 8종이 발견됐다. 

 뿐만 아니라 사건의 원인으론 기업의 개인정보 유출 사고에 대한 처벌 수준이 낮다는 점이 근본적인 문제로 지목됐다. 이에 대해 김희열 교수는 “낮은 수준의 처벌로 인해 기업이 보안의 중요성을 인식하지 못한다”고 밝혔다. 보안을 위한 비용을 생산적 투자가 아니라 소모적 비용으로만 인식하고, 형식적인 보안 관리로 최소한의 규정만 충족하려는 경향이 있다는 설명이다. 더불어 김도훈 교수는 “현행 개인정보보호법의 과징금 규모가 수천억 원의 매출을 올리는 대기업에 부담이 되지 않는 ‘관리 가능한 비용’에 불과하다”며, “조금 더 구체적인 핀셋형 처벌 체계가 필요하다”고 덧붙였다.

기업은 막중한 법적 책임을 지고 있나

 현재 한국의 개인정보 대량 유출 사고에 대한 과징금은 해외와 비교해 매우 작은 수준이다. 지난 2023년 개인정보 보호법 제64조의2는 과징금 상한액을 위법행위와 관련된 매출액의 3%에서 전체 매출액의 3%로 조정하되 위법행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액을 증명해야 하는 책임이 기업에 주어졌기 때문에 결과적으로 과징금 부담이 무거워진 셈이다. 그럼에도 개인정보 유출 시 매출액의 최대 4% 또는 2,000만 유로(약 312억) 중 더 큰 금액을 과징금으로 부과하는 유럽연합의 일반 개인정보 보호규정에 비하면 턱없이 낮은 금액이다. 개인정보보호위원회는 지난해 실내 스크린골프 기업 ‘골프존’에 고객 및 임직원 개인정보 221만여 건이 다크웹에 유출된 사고로 75억 원의 과징금을 부과했다. 이에 비해 미국 기업들은 거액 과징금으로 주목받는다. 미국 통신사 AT&T는 지난 2023년 고객 독점 네트워크 정보가 유출돼 연방통신위원회에 1,300만 달러(약 170억 원) 규모의 과징금을 지불했다. 미국의 또 다른 통신사 T모바일은 지난 2021년 고객 7,600만 명의 데이터가 대거 유출됐을 때 전 고객에게 2년간 보안 서비스를 무상 제공하고 총 3억 5,000만 달러(약 4,590억 원)를 배상하기로 합의하는 등의 보상을 진행했다.

 한국의 경우 개인정보 유출로 피해 입은 개인에게 기업의 손해배상이나 법적 구제가 매우 제한적이라는 지적도 있다. 김도훈 교수는 “집단소송제도나 피해자 지원 체계가 제대로 마련돼 있지 않아 대부분의 국민은 실질적인 법적 보호를 받기 어렵다”며 타국에 비해 기업의 법적 책임이 적절히 이뤄지지 않고 있다고 주장했다. 그리고 디지털 사회의 지속을 위해 기업은 정보를 위임받은 ‘책임자’로서 고신뢰성의 원칙을 기반으로 서비스를 제공해야 한다고 말했다.

임서현 수습기자 Ι imseohyeon1827@kyonggi.ac.kr