[보안뉴스 한세희 기자] SK텔레콤은 2일 유영상 대표 등이 참석한 가운데 유심 해킹 사고 이후 두번째 고객 보호 조치 강화에 대한 설명회를 열었다. 직영점 신규 고객 영업 정지와 유심보호서비스 자동 가입 등의 조치를 약속했지만, 위약금 면제에 대해선 여전히 말을 아꼈다.
정보보호 투자 규모나 HSS 서버 암호화 등 기술적 문제도 언급했다.
다음은 유영상 대표와 류정환 네트워크인프라센터장, 임봉호 MNO사업부장 등이 참석해 진행한 일문일답이다.
▲유영상 대표 등 SKT 임원들이 2일 서울 SKT 본사에서 기자들 질의에 답하고 있다. [자료: SKT]
Q. 이번 사고로 인한 번호이동 위약금은 면제해야 한다는 주장이 있는데, 이 문제 어떻게 논의되고 있나.
유영상 대표 : 위약금 면제는 굉장히 복잡한 문제다. 우리도, 과기정통부도 로펌 통해 법무 검토 받고 있다. 사내에서도 종합적 검토 거치고 있다. 종합적 검토 거치는 과정이라 말씀드린다. CEO 단독으로 할 수 있는 건 아니고 대책 결정 후 이사회 의결도 거쳐야 한다.
임봉호 MNO사업부장 : 약관에 귀책사유는 통신 본연의 서비스의 장애에 의해 사고 발생한 경우에 해당한다고 돼 있다. 이에 대한 해석은 법률적으로 검토할 사항이 있어 신중하게 검토하고 있다.
Q. 손해배상 입증책임 완화 문제에 대한 입장은.
유 대표 : 충분히 납득할 수 있도록 입증 책임 등에 대해 완화할 수 있도록 검토하겠다.
Q. 신규 가입 중단되면 대리점 피해 있는데 보상 대책은 어떤지.
유 대표 : 전국 T월드 영업점 2600개 중 직영은 350개, 나머지는 대리점이다. 이들은 중소기업이고, 신규가입 중단으로 굉장히 큰 피해가 갈 수 있다. 대책을 세워 상의 드리고 시행할 예정이다. 피해 보상 대책 준비할 것이다. 판매점은 우리와 직접 계약 관계가 아니라 어떻게 할 수 없다. 판매점은 더 소상공인이라 영업 중단을 권하기 어렵다.
Q. 티월드 앱 통한 가입도 안 되나. 온라인 가입이나 번호이동은 가능한지.
유 대표 : 행정지도 취지가 회사와 직원의 시간과 노력을 유심 교체에 집중하라는 것으로 이해한다. 온라인 가입 같은 것은 유심 재고를 소모하거나 교체를 방해하는 것은 아니다. 취지에 맞게 구체적 세부 계획은 준비하겠다.
임 사업부장 : T월드 2600개 매장에서 유심보호서비스 가입이나 유심 교체, 해킹 사고 관련된 고객 케어에 집중하기 위한 조치다. 판매점에선 유심 교체도 하지 않는다. T월드 한정해 신규 모집 중단하고 고객 지원에 집중하는 조치로 이해해달라.
[자료: 국회방송]
Q. 다른 통신사에 비해 정보보호 투자 소극적이었다는 지적이 있다. 그간 어떤 기준으로 정보보호 예산 책정했고. 왜 투자 규모가 적었는지?
유 대표 : 정보보호는 인력과 장비시설 투자로 나뉘는데, 5년 동안 SK브로드밴드 합쳐서 800~850억원 수준으로 꾸준히 늘어왔다. 충분하다고 말씀드리지는 않겠다. 또 2021년 SK스퀘어를 분할하면서 관련 투자 내역이 공시에서 빠진 점도 있다.
류정환 네트워크인프라센터장 : 정보보호 투자는 망 특징이나 가입자 규모, 서비스 특성 따라 다를 수 있다. 우리가 외주 많다 보니 인건비 투자가 적은 것처럼 나타났다. 외주 쓰는 것에 대한 지적도 있지만, 기술력은 내부적으로 하느냐 외주하느냐 상관없다고 본다. 진행 중인 민관 합동 조사결과가 나온 후 어떤 문제가 있었는지, 어떻게 개선할지 등 종합적으로 말씀드리겠다.
Q. 유심 공급 관련 가장 애로는 무엇인지? 유심 공급 위해 어떤 노력하는지?
유 대표 : 유심 제조는 반도체 사서 하드웨어 제조하고 소프트웨어 탑재해 납품하는 과정을 거친다. 평소 한달에 SKT 20만장, 시장 전체 40만장의 수요가 있다. 연간 500만장 규모다. 이번 사고 나자마자 발표 드릴 때 바로 500만장 주문했고, 6월에도 500만장 받을 수 있도록 추가 주문했다. 7월에도 필요하면 추가 주문할 예정이다.
문제는 납품 기간이 있기 때문에 아무리 당겨도 14일까지는 물량이 부족하다는 것이다. 최근 로밍 고객 많아서 우선 지원하다 보니 부족한 건 사실이다. 이 기간 불편에 대해선 사과드리고 최대한 노력하겠다. 유심 교체는 원하는대로 다 해드리겠으나 15일까지 부족한 부분에 대해선 양해 구한다. 그 이후엔 유심 부족 없을 것이다.
Q. 유심 교체 말고 유심보호 서비스만으로 충분한 보호된다고 말씀하시는데, 다른 기업이나 정부 조직은 유심 교체 권고하는 상황이다. 인식 차이가 있는데.
유 대표 : 우리는 유심보호 서비스가 100% 안전하고 유심 교체와 같은 효과를 가진다 생각하지만, 어떤 고객은 실물 교체가 낫다고 생각하기에 원하면 제공할 계획이다. 유심보호서비스가 안전하다는 인식 퍼지고 있고, 특히 과기정통부도 그렇게 발표했다.
류 센터장 : 세상에 100은 없고 9가 몇 개냐 문제이다. 유심 교체는 눈에 보이는 데서 바꿔주는 것이고, 유심보호서비스는 서비스를 받는 것이라 직관적인 면에서 차이가 있지 않나 한다. 유심보호서비스는 자기가 자기 단말기에서 유심 칩 교체할 때도 잠시 전원을 끄도록 하게 할 정도로 강하게 만들어 놓았다.
Q. 공격당한 HSS 시스템 내 IMSI 정보 등이 암호화돼 있지 않았다는 지적이 있는데.
류 센터장 : HSS는 전화할 때 바로 인증이 이뤄져야 하기 때문에 시간 처리에 민감한 장비다. 암호화와 복호화를 거치면 지연이 생긴다. 그래서 신호 처리 전체 프로세스에서 그 정보는 3GPP 등 통신 관련 국제기구에서도 암호화하지 않는 것이 표준이다. 향후 HSS 정보 중 암호화할 수 있는 부분 있는지 연구 중이다. 공급기업과 교수 등으로 구성된 자문단들 구성해 제안받고 있다. 대책 세울 것이다.
Q. 현재 유심보호서비스와 로밍 동시 이용 불가능해서, 로밍 취소 후 다시 가입하는 사람 많을텐데 지원책이 있나.
유 대표 : 로밍 문제가 제일 죄송하다. 미리 기술 개발했으면 좋았을 것이다. 14일부터 로밍 가입한 상태에서도 유심보호서비스 가입 되고, 기존 가입한 분들도 자동 업그레이드 해서 로밍 가입해도 유심보호서비스 2.0 작동하도록 할 생각이다.
Q. 최근 네트워크에 AI 적용해 위험 파악하고 조치할 수 있다는 홍보 많았다. 이번 사태에서 AI 역할은 어땠는지.
류 센터장 : 요즘 AI 없는 망 센싱은 없다. 다만 얼마나 AI를 적용할지, AI 활용 범위에 넣을 수 있는게 어디까지인지 등도 검토 중이다. 사고 후엔 문제 장비 분리하고 포렌식하고 조사하는 등 여러 단계 있었다. AI가 무용지물은 아니다. 사람과 AI가 서로 보조하며 병립하는 방향으로 간다.
Q. 유심 소프트웨어 변경해 IMSI 변경하는 유심포맷 기술 개발 중이다. 그런데 이 과정에서 IMSI 값 중복되면 다른 문제 생길 수 있다는 지적도 있다.
류 센터장 : 그런 우려 이해하고 있고, 그런 문제 피하도록 준비하고 있다. 다만 자세한 로직은 말씀드릴 수 없다는 점 양해해 달라.
[한세희 기자(boan@boannews.com)]
정보보호 투자 규모나 HSS 서버 암호화 등 기술적 문제도 언급했다.
다음은 유영상 대표와 류정환 네트워크인프라센터장, 임봉호 MNO사업부장 등이 참석해 진행한 일문일답이다.
▲유영상 대표 등 SKT 임원들이 2일 서울 SKT 본사에서 기자들 질의에 답하고 있다. [자료: SKT]
Q. 이번 사고로 인한 번호이동 위약금은 면제해야 한다는 주장이 있는데, 이 문제 어떻게 논의되고 있나.
유영상 대표 : 위약금 면제는 굉장히 복잡한 문제다. 우리도, 과기정통부도 로펌 통해 법무 검토 받고 있다. 사내에서도 종합적 검토 거치고 있다. 종합적 검토 거치는 과정이라 말씀드린다. CEO 단독으로 할 수 있는 건 아니고 대책 결정 후 이사회 의결도 거쳐야 한다.
임봉호 MNO사업부장 : 약관에 귀책사유는 통신 본연의 서비스의 장애에 의해 사고 발생한 경우에 해당한다고 돼 있다. 이에 대한 해석은 법률적으로 검토할 사항이 있어 신중하게 검토하고 있다.
Q. 손해배상 입증책임 완화 문제에 대한 입장은.
유 대표 : 충분히 납득할 수 있도록 입증 책임 등에 대해 완화할 수 있도록 검토하겠다.
Q. 신규 가입 중단되면 대리점 피해 있는데 보상 대책은 어떤지.
유 대표 : 전국 T월드 영업점 2600개 중 직영은 350개, 나머지는 대리점이다. 이들은 중소기업이고, 신규가입 중단으로 굉장히 큰 피해가 갈 수 있다. 대책을 세워 상의 드리고 시행할 예정이다. 피해 보상 대책 준비할 것이다. 판매점은 우리와 직접 계약 관계가 아니라 어떻게 할 수 없다. 판매점은 더 소상공인이라 영업 중단을 권하기 어렵다.
Q. 티월드 앱 통한 가입도 안 되나. 온라인 가입이나 번호이동은 가능한지.
유 대표 : 행정지도 취지가 회사와 직원의 시간과 노력을 유심 교체에 집중하라는 것으로 이해한다. 온라인 가입 같은 것은 유심 재고를 소모하거나 교체를 방해하는 것은 아니다. 취지에 맞게 구체적 세부 계획은 준비하겠다.
임 사업부장 : T월드 2600개 매장에서 유심보호서비스 가입이나 유심 교체, 해킹 사고 관련된 고객 케어에 집중하기 위한 조치다. 판매점에선 유심 교체도 하지 않는다. T월드 한정해 신규 모집 중단하고 고객 지원에 집중하는 조치로 이해해달라.
[자료: 국회방송]
Q. 다른 통신사에 비해 정보보호 투자 소극적이었다는 지적이 있다. 그간 어떤 기준으로 정보보호 예산 책정했고. 왜 투자 규모가 적었는지?
유 대표 : 정보보호는 인력과 장비시설 투자로 나뉘는데, 5년 동안 SK브로드밴드 합쳐서 800~850억원 수준으로 꾸준히 늘어왔다. 충분하다고 말씀드리지는 않겠다. 또 2021년 SK스퀘어를 분할하면서 관련 투자 내역이 공시에서 빠진 점도 있다.
류정환 네트워크인프라센터장 : 정보보호 투자는 망 특징이나 가입자 규모, 서비스 특성 따라 다를 수 있다. 우리가 외주 많다 보니 인건비 투자가 적은 것처럼 나타났다. 외주 쓰는 것에 대한 지적도 있지만, 기술력은 내부적으로 하느냐 외주하느냐 상관없다고 본다. 진행 중인 민관 합동 조사결과가 나온 후 어떤 문제가 있었는지, 어떻게 개선할지 등 종합적으로 말씀드리겠다.
Q. 유심 공급 관련 가장 애로는 무엇인지? 유심 공급 위해 어떤 노력하는지?
유 대표 : 유심 제조는 반도체 사서 하드웨어 제조하고 소프트웨어 탑재해 납품하는 과정을 거친다. 평소 한달에 SKT 20만장, 시장 전체 40만장의 수요가 있다. 연간 500만장 규모다. 이번 사고 나자마자 발표 드릴 때 바로 500만장 주문했고, 6월에도 500만장 받을 수 있도록 추가 주문했다. 7월에도 필요하면 추가 주문할 예정이다.
문제는 납품 기간이 있기 때문에 아무리 당겨도 14일까지는 물량이 부족하다는 것이다. 최근 로밍 고객 많아서 우선 지원하다 보니 부족한 건 사실이다. 이 기간 불편에 대해선 사과드리고 최대한 노력하겠다. 유심 교체는 원하는대로 다 해드리겠으나 15일까지 부족한 부분에 대해선 양해 구한다. 그 이후엔 유심 부족 없을 것이다.
Q. 유심 교체 말고 유심보호 서비스만으로 충분한 보호된다고 말씀하시는데, 다른 기업이나 정부 조직은 유심 교체 권고하는 상황이다. 인식 차이가 있는데.
유 대표 : 우리는 유심보호 서비스가 100% 안전하고 유심 교체와 같은 효과를 가진다 생각하지만, 어떤 고객은 실물 교체가 낫다고 생각하기에 원하면 제공할 계획이다. 유심보호서비스가 안전하다는 인식 퍼지고 있고, 특히 과기정통부도 그렇게 발표했다.
류 센터장 : 세상에 100은 없고 9가 몇 개냐 문제이다. 유심 교체는 눈에 보이는 데서 바꿔주는 것이고, 유심보호서비스는 서비스를 받는 것이라 직관적인 면에서 차이가 있지 않나 한다. 유심보호서비스는 자기가 자기 단말기에서 유심 칩 교체할 때도 잠시 전원을 끄도록 하게 할 정도로 강하게 만들어 놓았다.
Q. 공격당한 HSS 시스템 내 IMSI 정보 등이 암호화돼 있지 않았다는 지적이 있는데.
류 센터장 : HSS는 전화할 때 바로 인증이 이뤄져야 하기 때문에 시간 처리에 민감한 장비다. 암호화와 복호화를 거치면 지연이 생긴다. 그래서 신호 처리 전체 프로세스에서 그 정보는 3GPP 등 통신 관련 국제기구에서도 암호화하지 않는 것이 표준이다. 향후 HSS 정보 중 암호화할 수 있는 부분 있는지 연구 중이다. 공급기업과 교수 등으로 구성된 자문단들 구성해 제안받고 있다. 대책 세울 것이다.
Q. 현재 유심보호서비스와 로밍 동시 이용 불가능해서, 로밍 취소 후 다시 가입하는 사람 많을텐데 지원책이 있나.
유 대표 : 로밍 문제가 제일 죄송하다. 미리 기술 개발했으면 좋았을 것이다. 14일부터 로밍 가입한 상태에서도 유심보호서비스 가입 되고, 기존 가입한 분들도 자동 업그레이드 해서 로밍 가입해도 유심보호서비스 2.0 작동하도록 할 생각이다.
Q. 최근 네트워크에 AI 적용해 위험 파악하고 조치할 수 있다는 홍보 많았다. 이번 사태에서 AI 역할은 어땠는지.
류 센터장 : 요즘 AI 없는 망 센싱은 없다. 다만 얼마나 AI를 적용할지, AI 활용 범위에 넣을 수 있는게 어디까지인지 등도 검토 중이다. 사고 후엔 문제 장비 분리하고 포렌식하고 조사하는 등 여러 단계 있었다. AI가 무용지물은 아니다. 사람과 AI가 서로 보조하며 병립하는 방향으로 간다.
Q. 유심 소프트웨어 변경해 IMSI 변경하는 유심포맷 기술 개발 중이다. 그런데 이 과정에서 IMSI 값 중복되면 다른 문제 생길 수 있다는 지적도 있다.
류 센터장 : 그런 우려 이해하고 있고, 그런 문제 피하도록 준비하고 있다. 다만 자세한 로직은 말씀드릴 수 없다는 점 양해해 달라.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
