7일 오전 서울 중구 SK텔레콤 T타워 SUPEX홀에서 SK텔레콤의 해킹 사고와 관련해 고개 숙여 사과하고 있는 최태원 SK그룹 회장(사진_MBC 캡처)
[시사의창=김성민 기자] SK텔레콤이 4월 18일 자정 무렵 악성코드 공격을 받아 가입자식별모듈(USIM) 인증 서버가 해킹당하면서 최대 2천500만 명의 가입자 정보가 노출됐다.
국제모바일가입자식별번호(IMSI)와 인증키(Ki) 등 핵심값이 유출돼 ‘휴대전화 복제’ 위험까지 제기된 상황에서, SK텔레콤은 열흘 가까이 지나서야 사과문을 띄웠고, 5월 7일 최태원 회장이 뒤늦게 고개를 숙였다.
해킹 정황을 포착한 직후 SK텔레콤은 문제 장비를 격리하고 악성코드를 삭제했지만, “현재까지 악용 사례는 확인되지 않았다”는 원론적 입장만 반복했다. 한국인터넷진흥원과 개인정보보호위원회에는 뒤늦게 사고를 신고했고, 전체 시스템 전수 조사도 사고 발생 나흘 뒤에야 시작됐다.
SK텔레콤은 25 만 원 상당의 USIM을 전 가입자에게 무료 교체해 주겠다는 ‘보호 서비스’를 내놨다. 그러나 일선 대리점은 USIM 재고가 부족했고, 피해 예방 창구로 홍보한 ‘USIM 보호 서비스’ 가입자는 사흘 만에 2천4백만 건을 돌파해 서버가 먹통이 됐다. 신규 가입과 기기변경 업무도 5일부터 중단하면서 소비자는 ‘폰 블랙아웃’ 사태를 겪었다.
고객 불만은 들끓는다. “정작 무엇이 유출됐는지조차 모른다”는 성토가 이어졌고, 통신사 갈아타기(탈통신) 게시판엔 이틀 새 4만 여 건의 해지 문의가 쏟아졌다. 온라인 커뮤니티는 “SKT가 사고 책임을 ‘교체 마케팅’으로 돌린다”며 위약금 면제·위로금 지급 국민청원 링크를 공유 중이다. SK텔레콤은 “이사회가 형평성과 법적 쟁점을 검토하고 있다”는 답변만 내놨다.
감독 당국도 질타에 가세했다. 개인정보보호위원회는 “모든 이용자에게 유출 항목·시점·피해 구제 절차 등을 개별 통지하라”며 시정 권고를 발송했다. SK텔레콤이 보낸 문자엔 사고 경위 대신 ‘USIM 무료 교체’ 안내만 담겼다는 이유에서다.
보안 전문가들은 “인증 서버를 인터넷망과 물리적으로 격리했더라면 이 같은 대형 사고는 막을 수 있었다”며 “국내 1위 통신사가 ‘제로 트러스트’ 기본 원칙조차 지키지 않은 점이 더 큰 문제”라고 지적한다. 업계에서는 과징금 수준을 넘어선 집단소송 가능성까지 거론된다.
“고객 신뢰를 잃으면 통신사의 ‘망’도 공허하다”는 비판 속에, SK텔레콤이 실질 보상안과 재발 방지 로드맵을 내놓지 않는다면 소비자 이탈과 당국 제재라는 ‘이중 펀치’를 피하기 어려워 보인다.
김성민 기자 ksm950080@gmail.com
창미디어그룹 시사의창
#SK텔레콤 #해킹사고 #개인정보유출 #USIM교체 #위약금면제 #통신보안 #기업책임