국가통신인프라의 핵심부품인 유심 제조업체 대상 공급망 보안 감사 필요성 제기
최악의 통신사 해킹 사건으로 기록될 SKT 유심(USIM) 해킹 사태로 많은 사람들이 온갖 불편을 감수하며 유심 교체에 나서고 있다. SKT 대리점 앞에서, 그리고 여행을 떠나기 전 공항에서 몇 시간씩 기다리는 게 다반사다.
SKT 측은 4일 현재 95만명이 유심 교체를 완료했고 500만 개의 재고를 확보했다고 밝혔지만, 원하는 이용자들이 모두 유심을 교체하는 데까지는 상당한 시일이 걸릴 것으로 보인다.
▲SKT 매장에서 교체를 앞두고 있는 유심들 [자료: 연합]
그럼 SKT는 그간 유심 제조업체에 대한 보안관리를 어떻게 해왔을까? 이번 사태로 인해 유심 공급과 관련된 공급망 보안 중요성이 더욱 커지고 있다. 현재 SKT에 유심을 제조 및 공급하는 업체는 엑스큐어, 유비벨록스, SK텔링크, 탈레스 4곳으로 알려졌는데, 이번 사태로 인해 해당 회사들에 대한 보안 감사 필요성도 제기되는 상황이다.
무엇보다 유심은 국가통신인프라의 핵심부품이다. 유심은 단순 부품이 아니라 통신망 접속 및 사용자 인증을 담당하는 핵심 보안 장치라고 할 수 있다. 단순히 통신 서비스 제공을 넘어서 사용자 인증, 데이터 암호화, 네트워크 접속 관리 등 중요한 보안 기능을 수행한다.
이에 따라 유심 정보 해킹은 통신사 내부 보안체계만의 문제를 넘어 국가 사이버 보안체계의 빈틈을 노린 사이버 공격이라고 할 수 있다. 이번 공격은 국가 정보통신망의 무력화 가능성으로 이어질 수 있고, 사이버 주권마저 침해될 수 있는 중대한 사안이라는 점이다.
이번 SKT 해킹 사태와 같은 중대한 보안 사고의 재발 방지를 위해서는 유심 칩 제조, OS 설치, 제조공정, 키 관리 등 각 단계에서 보안 허점이 있는지 확인하고, 유심 제조업체의 보안 프로세스, 인증체계, 공급망 관리 수준에 대한 철저한 보안 점검이 요구된다.
이와 함께 탈레스와 같은 글로벌 업체가 일부 유심을 공급하고 있는 만큼 외부 유출, 백도어, 보안 인증 누락 등의 위험에 대응할 수 있는 글로벌 공급망 보안 체계도 정비할 필요가 있다는 지적이다.
이와 관련 보안이야기 최재영 대표는 “통신사들은 유심 공급업체에 대한 보안요건(SLA) 검증, 주기적 감사, 보안 평가 시스템을 마련해야 하나, 현실은 가격경쟁 중심 조달에 머무는 경우가 많다”며, “이번 사태는 단순한 통신사 사고가 아니라 국가 사이버보안 체계 내 ‘공급망 보안 관리 실패’로 봐야 한다”고 말했다.
덧붙여 그는 “유심 공급업체 전체에 대한 보안성 평가, 침해사고 이력 확인, 내부 인증 및 키 관리 절차 등의 감사를 통해 철저히 재검증해야 할 시점”이라며, “이번 사태를 계기로 공급망 보안 감사 체계에 대한 전면 개편이 필요하다”고 강조했다.
[보안뉴스 특별취재팀(editor@boannews.com)]
최악의 통신사 해킹 사건으로 기록될 SKT 유심(USIM) 해킹 사태로 많은 사람들이 온갖 불편을 감수하며 유심 교체에 나서고 있다. SKT 대리점 앞에서, 그리고 여행을 떠나기 전 공항에서 몇 시간씩 기다리는 게 다반사다.
SKT 측은 4일 현재 95만명이 유심 교체를 완료했고 500만 개의 재고를 확보했다고 밝혔지만, 원하는 이용자들이 모두 유심을 교체하는 데까지는 상당한 시일이 걸릴 것으로 보인다.
▲SKT 매장에서 교체를 앞두고 있는 유심들 [자료: 연합]
그럼 SKT는 그간 유심 제조업체에 대한 보안관리를 어떻게 해왔을까? 이번 사태로 인해 유심 공급과 관련된 공급망 보안 중요성이 더욱 커지고 있다. 현재 SKT에 유심을 제조 및 공급하는 업체는 엑스큐어, 유비벨록스, SK텔링크, 탈레스 4곳으로 알려졌는데, 이번 사태로 인해 해당 회사들에 대한 보안 감사 필요성도 제기되는 상황이다.
무엇보다 유심은 국가통신인프라의 핵심부품이다. 유심은 단순 부품이 아니라 통신망 접속 및 사용자 인증을 담당하는 핵심 보안 장치라고 할 수 있다. 단순히 통신 서비스 제공을 넘어서 사용자 인증, 데이터 암호화, 네트워크 접속 관리 등 중요한 보안 기능을 수행한다.
이에 따라 유심 정보 해킹은 통신사 내부 보안체계만의 문제를 넘어 국가 사이버 보안체계의 빈틈을 노린 사이버 공격이라고 할 수 있다. 이번 공격은 국가 정보통신망의 무력화 가능성으로 이어질 수 있고, 사이버 주권마저 침해될 수 있는 중대한 사안이라는 점이다.
이번 SKT 해킹 사태와 같은 중대한 보안 사고의 재발 방지를 위해서는 유심 칩 제조, OS 설치, 제조공정, 키 관리 등 각 단계에서 보안 허점이 있는지 확인하고, 유심 제조업체의 보안 프로세스, 인증체계, 공급망 관리 수준에 대한 철저한 보안 점검이 요구된다.
이와 함께 탈레스와 같은 글로벌 업체가 일부 유심을 공급하고 있는 만큼 외부 유출, 백도어, 보안 인증 누락 등의 위험에 대응할 수 있는 글로벌 공급망 보안 체계도 정비할 필요가 있다는 지적이다.
이와 관련 보안이야기 최재영 대표는 “통신사들은 유심 공급업체에 대한 보안요건(SLA) 검증, 주기적 감사, 보안 평가 시스템을 마련해야 하나, 현실은 가격경쟁 중심 조달에 머무는 경우가 많다”며, “이번 사태는 단순한 통신사 사고가 아니라 국가 사이버보안 체계 내 ‘공급망 보안 관리 실패’로 봐야 한다”고 말했다.
덧붙여 그는 “유심 공급업체 전체에 대한 보안성 평가, 침해사고 이력 확인, 내부 인증 및 키 관리 절차 등의 감사를 통해 철저히 재검증해야 할 시점”이라며, “이번 사태를 계기로 공급망 보안 감사 체계에 대한 전면 개편이 필요하다”고 강조했다.
[보안뉴스 특별취재팀(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
