가입자 3,400만명 1위 업체 보안 의식 ‘수준 이하’ 소비자들 원성
2023년 LG유플러스 개인정보 유출 사고 때도 과징금 등 68억으로 퉁쳐
보안은 돈벌이 수단, 개인정보 주권은 나 몰라라 하는 기업의 후진적 마인드
[보안뉴스 성기노 기자] 2025년 4월 기준 SK텔레콤의 전체 이동통신 가입자 수는 약 3,400만 명으로 추정된다. SK텔레콤은 국내 이동통신 시장의 약 48%를 점유하고 있다. 2~3위 업체 KT와 LG유플러스를 합친 수와 비슷하다. 누가 뭐래도 국민 이동통신 회사다. 특히 무선통신 서비스에 가입한 국민도 2300만명에 달해 압도적 1위를 달리고 있다.
[자료: gettyimagesbank]
그런 1위 업체 SK텔레콤의 무선통신 핵심 시스템인 홈가입자서버(HSS)가 해커의 악성코드 공격을 받아 털렸다. 유출된 정보에는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이 포함되어 있었다.
이번 해킹 사고로 유출된 정보는 성명·주소·주민등록번호·이메일 등은 포함하지 않고 가입자 인증 및 식별 정보만 들어가 있는 것으로 파악됐다고 SK텔레콤은 밝혔다. 유심은 통신망 내에서 개인을 식별하는 데 쓰이는 정보를 저장하는 매체를 말한다. 개인정보는 털리지 않았고 개인 인증 식별 정보가 해킹됐다는 것이다. 하지만 유심 정보를 탈취하면 불법 유심칩을 만들어 신원을 도용하는 등 악용할 수 있다.
SK텔레콤은 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리했다고 밝혔다. SK텔레콤은 “지금까지 해당 정보가 실제로 악용된 사례는 확인되지 않았다”는 말만 반복하고 있다. ‘피해 사례가 보고되지 않았으니 괜찮다’는 것이다. 하지만 SK텔레콤이 이용자 유심 정보가 해커 공격으로 유출된 사실이 드러난 뒤에도 해당 사실을 홈페이지와 ‘T월드’ 앱 등에만 공지한 것을 두고 소비자들의 불만이 이어졌다. SK같은 대기업의 보안 의식과 위기대응 방식이 ‘수준 이하’라는 혹평도 나오고 있다.
또한 개인정보보호위원회는 대규모 개인정보를 처리하는 이동통신 서비스에서 유출 사고가 난 만큼 보이스피싱·스미싱 등 2차 피해가 발생하지 않도록 국민에게 주의를 당부하고 있다. 당장 유심 정보 유출로 인한 개인정보 유출 사례는 보고되지 않았다고 해도 장기적으로 이번 해킹 사태가 가져올 피해 규모는 예단하기 어렵다.
SK텔레콤은 유영상 대표이사가 직접 나서 해킹 사고와 관련해 2300만명의 해당 고객을 대상으로 유심을 모두 무상으로 교체한다고 지난 25일 밝혔다. 자체적으로 사고를 인지한 후 일주일 만이다. 업계의 한 관계자는 “사고가 터지고 파문이 걷잡을 수 없이 확산하자 할 수 없이 유심 교체 카드까지 꺼낸 것 같다. 교체 비용이 1770억원에 이른다고 하는데 그 돈의 절반이라도 보안 장비 교체나 의식 개선 교육 등에 투입했으면 이번 사태와 같은 대형 사고가 났겠는가. 이게 한국 대기업의 보안 문화 수준이다”라고 일침을 놓았다.
특히 SK텔레콤 해킹 사건과 같은 이동통신사의 개인정보 유출 사례는 잊을 만하면 한 번씩 발생하는 보안업계의 고질병이다. 지난 2014년 KT 개인정보 유출 사건 때는 해커들이 KT의 홈페이지를 해킹하여 약 1,200만 명의 고객 개인정보를 탈취했다. 유출된 정보에는 이름, 주민등록번호, 휴대전화번호, 주소, 직업, 은행 계좌 정보 등이 포함되어 있었다.
당시 유출된 개인정보는 텔레마케팅 업체에 판매되어 불법 영업에 활용되었고 피해자들은 스팸 전화, 보이스 피싱, 명의 도용 등의 2차 피해를 입었다. 이용자들이 ‘개인적으로’ 스팸이나 보이스피싱 등에 걸려 피해를 입어도 그것이 이동통신사의 개인정보 유출 때문이라는 인과관계를 증명하기란 거의 불가능하다.
[자료: gettyimagesbank]
2023년 1월에는 LG유플러스 해킹 사고가 있었다. LG유플러스는 해킹 공격을 받아 약 30만 건의 고객 개인정보가 유출됐다. 유출된 정보에는 휴대전화번호, 성명, 주소, 생년월일, 이메일 주소, 아이디, USIM 고유번호 등 26개 항목이 포함되어 있었다.
이때도 유출된 개인정보는 불법 거래 사이트에 유포됐고 이를 통해 스팸 메시지 발송, 피싱 사이트 유도 등의 2차 피해가 발생할 우려가 제기됐다. 당시 개인정보보호위원회는 LG유플러스에 과징금 68억 원과 과태료 2,700만 원을 부과했다. 하지만 이용자들이 개인정보 유출로 인해 입었을 스미싱 등의 피해에 대해서는 그것을 증명할 수도 없기 때문에 나 몰라라 하며 넘어갔다.
과거 KT와 LG유플러스 사건 때와 같이 이번 SK텔레콤 유심 해킹 사건도 정작 이용자들이 개인정보 유출로 인해 스미싱 등 2차 피해를 입어도 그 피해가 기업 해킹에 기인한 것인지 명확히 입증할 수 없기 때문에 이용자들이 입을 유·무형의 피해는 결국 그 누구에게도 보상받을 수 없다.
기업은 적당히 벌금만 내고 빠져나가지만 소비자들은 실질적 보상을 받지도 못한 채 또 적당히 넘어갈 수밖에 없다. 기업이 해킹으로 사고를 쳐도 그 고통이 소비자들에게만 고스란히 ‘전이’되는 작금의 기업 해킹 사건은 반드시 정부 차원에서 피해 유발자인 회사에 엄중한 책임을 물어야 한다.
SK텔레콤이 이번 해킹 사건에서 노정한 각종 문제점들은 3천만명이 넘는 가입자를 거느린 기업이 맞나 싶을 정도로 형편없는 관리와 보안 의식을 노정하고 있다. SK텔레콤은 해킹 공격을 받은 사고의 최초 인지 시점은 고객 정보 탈취를 인지한 지난 19일보다 하루 빨랐고 사고 인지 24시간 이내에 신고해야 하는 규정을 위반한 것으로 파악됐다.
해킹을 인지하고도 그 사실을 뭉개고 있었다는 것이다. 그 사이에 이용자들은 해킹 사실을 알지도 못하고 무방비로 당할 수밖에 없었을 것이다.
[자료: gettyimagesbank]
또한 국내 최대 가입자 수를 거느린 기업이라면 개인정보보호 등의 보안 투자에 사력을 다해야 하지만 SK텔레콤은 오히려 지난 2년 동안 정보보호 투자비를 줄인 것으로 나타났다. 한국인터넷진흥원과 업계에 따르면 SK텔레콤의 지난해 정보보호 투자비는 약 600억원으로 2022년(627억원) 대비 4% 정도 줄었다. 이는 지난해 1218억원의 정보보호 투자비를 집행한 KT의 절반도 안되는 규모다. LG유플러스의 작년 정보보호 투자비(632억원)에도 미치지 못하는 수준이다.
사고 후 늑장 대응에 개인정보 투자비도 줄이는 SK텔레콤의 보안 의식과 기강 해이가 부른 참사 피해는 고스란히 소비자의 몫이다. 잊을 만하면 이동통신 회사들의 보안 사고가 터진다. 그때마다 기업은 책임지지 않고 애먼 소비자들만 유·무형의 피해에 무방비로 노출될 뿐이다. 사고는 기업이 치고 소비자가 그 피해를 덤터기 쓰는 현실은 분명히 비정상이고 비상식적이다.
이번 SK텔레콤 해킹 사건은 단순한 사고가 아니다. 국민들의 ‘통신’과 ‘개인정보’를 책임지고 있는 기업이 경영 효율에만 급급할 뿐 소비자들의 이익과 피해 보호에는 얼마나 무관심한지를 보여주는 극명한 사례일 뿐이다.
SK텔레콤은 그들이 지켜야 할 보안이나 개인정보를 단순히 비즈니스 효율성으로만 생각할 뿐 일종의 ‘공공재’로 인식하지 않는다. 한 기업의 보안이 붕괴돼 미치는 사회적 부담과 피해가 너무도 심각한 데도 말이다. “스마트폰은 바꿀 수 있어도 통신망은 너희들이 바꿀 수 없어. 마음대로 해봐”라는 갑질 마인드가 작금의 해킹 사태를 초래했다는 지적도 나온다.
기업들이 그런 후진적인 마인드를 가지고 있는 한 앞으로 계속해서 보안 사고는 터질 것이다. 개인정보 주권이 제대로 보호받지 못하고 오히려 기업의 돈벌이 수단으로 전락한 씁쓸한 대한민국의 보안 현실이다.
[성기노 기자(kino@boannews.com)]
2023년 LG유플러스 개인정보 유출 사고 때도 과징금 등 68억으로 퉁쳐
보안은 돈벌이 수단, 개인정보 주권은 나 몰라라 하는 기업의 후진적 마인드
[보안뉴스 성기노 기자] 2025년 4월 기준 SK텔레콤의 전체 이동통신 가입자 수는 약 3,400만 명으로 추정된다. SK텔레콤은 국내 이동통신 시장의 약 48%를 점유하고 있다. 2~3위 업체 KT와 LG유플러스를 합친 수와 비슷하다. 누가 뭐래도 국민 이동통신 회사다. 특히 무선통신 서비스에 가입한 국민도 2300만명에 달해 압도적 1위를 달리고 있다.
[자료: gettyimagesbank]
그런 1위 업체 SK텔레콤의 무선통신 핵심 시스템인 홈가입자서버(HSS)가 해커의 악성코드 공격을 받아 털렸다. 유출된 정보에는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이 포함되어 있었다.
이번 해킹 사고로 유출된 정보는 성명·주소·주민등록번호·이메일 등은 포함하지 않고 가입자 인증 및 식별 정보만 들어가 있는 것으로 파악됐다고 SK텔레콤은 밝혔다. 유심은 통신망 내에서 개인을 식별하는 데 쓰이는 정보를 저장하는 매체를 말한다. 개인정보는 털리지 않았고 개인 인증 식별 정보가 해킹됐다는 것이다. 하지만 유심 정보를 탈취하면 불법 유심칩을 만들어 신원을 도용하는 등 악용할 수 있다.
SK텔레콤은 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리했다고 밝혔다. SK텔레콤은 “지금까지 해당 정보가 실제로 악용된 사례는 확인되지 않았다”는 말만 반복하고 있다. ‘피해 사례가 보고되지 않았으니 괜찮다’는 것이다. 하지만 SK텔레콤이 이용자 유심 정보가 해커 공격으로 유출된 사실이 드러난 뒤에도 해당 사실을 홈페이지와 ‘T월드’ 앱 등에만 공지한 것을 두고 소비자들의 불만이 이어졌다. SK같은 대기업의 보안 의식과 위기대응 방식이 ‘수준 이하’라는 혹평도 나오고 있다.
또한 개인정보보호위원회는 대규모 개인정보를 처리하는 이동통신 서비스에서 유출 사고가 난 만큼 보이스피싱·스미싱 등 2차 피해가 발생하지 않도록 국민에게 주의를 당부하고 있다. 당장 유심 정보 유출로 인한 개인정보 유출 사례는 보고되지 않았다고 해도 장기적으로 이번 해킹 사태가 가져올 피해 규모는 예단하기 어렵다.
SK텔레콤은 유영상 대표이사가 직접 나서 해킹 사고와 관련해 2300만명의 해당 고객을 대상으로 유심을 모두 무상으로 교체한다고 지난 25일 밝혔다. 자체적으로 사고를 인지한 후 일주일 만이다. 업계의 한 관계자는 “사고가 터지고 파문이 걷잡을 수 없이 확산하자 할 수 없이 유심 교체 카드까지 꺼낸 것 같다. 교체 비용이 1770억원에 이른다고 하는데 그 돈의 절반이라도 보안 장비 교체나 의식 개선 교육 등에 투입했으면 이번 사태와 같은 대형 사고가 났겠는가. 이게 한국 대기업의 보안 문화 수준이다”라고 일침을 놓았다.
특히 SK텔레콤 해킹 사건과 같은 이동통신사의 개인정보 유출 사례는 잊을 만하면 한 번씩 발생하는 보안업계의 고질병이다. 지난 2014년 KT 개인정보 유출 사건 때는 해커들이 KT의 홈페이지를 해킹하여 약 1,200만 명의 고객 개인정보를 탈취했다. 유출된 정보에는 이름, 주민등록번호, 휴대전화번호, 주소, 직업, 은행 계좌 정보 등이 포함되어 있었다.
당시 유출된 개인정보는 텔레마케팅 업체에 판매되어 불법 영업에 활용되었고 피해자들은 스팸 전화, 보이스 피싱, 명의 도용 등의 2차 피해를 입었다. 이용자들이 ‘개인적으로’ 스팸이나 보이스피싱 등에 걸려 피해를 입어도 그것이 이동통신사의 개인정보 유출 때문이라는 인과관계를 증명하기란 거의 불가능하다.
[자료: gettyimagesbank]
2023년 1월에는 LG유플러스 해킹 사고가 있었다. LG유플러스는 해킹 공격을 받아 약 30만 건의 고객 개인정보가 유출됐다. 유출된 정보에는 휴대전화번호, 성명, 주소, 생년월일, 이메일 주소, 아이디, USIM 고유번호 등 26개 항목이 포함되어 있었다.
이때도 유출된 개인정보는 불법 거래 사이트에 유포됐고 이를 통해 스팸 메시지 발송, 피싱 사이트 유도 등의 2차 피해가 발생할 우려가 제기됐다. 당시 개인정보보호위원회는 LG유플러스에 과징금 68억 원과 과태료 2,700만 원을 부과했다. 하지만 이용자들이 개인정보 유출로 인해 입었을 스미싱 등의 피해에 대해서는 그것을 증명할 수도 없기 때문에 나 몰라라 하며 넘어갔다.
과거 KT와 LG유플러스 사건 때와 같이 이번 SK텔레콤 유심 해킹 사건도 정작 이용자들이 개인정보 유출로 인해 스미싱 등 2차 피해를 입어도 그 피해가 기업 해킹에 기인한 것인지 명확히 입증할 수 없기 때문에 이용자들이 입을 유·무형의 피해는 결국 그 누구에게도 보상받을 수 없다.
기업은 적당히 벌금만 내고 빠져나가지만 소비자들은 실질적 보상을 받지도 못한 채 또 적당히 넘어갈 수밖에 없다. 기업이 해킹으로 사고를 쳐도 그 고통이 소비자들에게만 고스란히 ‘전이’되는 작금의 기업 해킹 사건은 반드시 정부 차원에서 피해 유발자인 회사에 엄중한 책임을 물어야 한다.
SK텔레콤이 이번 해킹 사건에서 노정한 각종 문제점들은 3천만명이 넘는 가입자를 거느린 기업이 맞나 싶을 정도로 형편없는 관리와 보안 의식을 노정하고 있다. SK텔레콤은 해킹 공격을 받은 사고의 최초 인지 시점은 고객 정보 탈취를 인지한 지난 19일보다 하루 빨랐고 사고 인지 24시간 이내에 신고해야 하는 규정을 위반한 것으로 파악됐다.
해킹을 인지하고도 그 사실을 뭉개고 있었다는 것이다. 그 사이에 이용자들은 해킹 사실을 알지도 못하고 무방비로 당할 수밖에 없었을 것이다.
[자료: gettyimagesbank]
또한 국내 최대 가입자 수를 거느린 기업이라면 개인정보보호 등의 보안 투자에 사력을 다해야 하지만 SK텔레콤은 오히려 지난 2년 동안 정보보호 투자비를 줄인 것으로 나타났다. 한국인터넷진흥원과 업계에 따르면 SK텔레콤의 지난해 정보보호 투자비는 약 600억원으로 2022년(627억원) 대비 4% 정도 줄었다. 이는 지난해 1218억원의 정보보호 투자비를 집행한 KT의 절반도 안되는 규모다. LG유플러스의 작년 정보보호 투자비(632억원)에도 미치지 못하는 수준이다.
사고 후 늑장 대응에 개인정보 투자비도 줄이는 SK텔레콤의 보안 의식과 기강 해이가 부른 참사 피해는 고스란히 소비자의 몫이다. 잊을 만하면 이동통신 회사들의 보안 사고가 터진다. 그때마다 기업은 책임지지 않고 애먼 소비자들만 유·무형의 피해에 무방비로 노출될 뿐이다. 사고는 기업이 치고 소비자가 그 피해를 덤터기 쓰는 현실은 분명히 비정상이고 비상식적이다.
이번 SK텔레콤 해킹 사건은 단순한 사고가 아니다. 국민들의 ‘통신’과 ‘개인정보’를 책임지고 있는 기업이 경영 효율에만 급급할 뿐 소비자들의 이익과 피해 보호에는 얼마나 무관심한지를 보여주는 극명한 사례일 뿐이다.
SK텔레콤은 그들이 지켜야 할 보안이나 개인정보를 단순히 비즈니스 효율성으로만 생각할 뿐 일종의 ‘공공재’로 인식하지 않는다. 한 기업의 보안이 붕괴돼 미치는 사회적 부담과 피해가 너무도 심각한 데도 말이다. “스마트폰은 바꿀 수 있어도 통신망은 너희들이 바꿀 수 없어. 마음대로 해봐”라는 갑질 마인드가 작금의 해킹 사태를 초래했다는 지적도 나온다.
기업들이 그런 후진적인 마인드를 가지고 있는 한 앞으로 계속해서 보안 사고는 터질 것이다. 개인정보 주권이 제대로 보호받지 못하고 오히려 기업의 돈벌이 수단으로 전락한 씁쓸한 대한민국의 보안 현실이다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
