“대체 유심에서 뭐가 빠져나간 거죠?”

지난 4월, SK텔레콤 이용자들이 통신사 매장을 찾기 시작했다. 유심 카드에서 개인 정보가 빠져나갔다는 뉴스가 보도된 직후였다.

유심은 통화 기록, 단말기 정보, 본인 인증까지 스마트폰의 ‘디지털 신분증’ 같은 역할을 하는 만큼, 유심 해킹 사고는 큰 논란으로 이어졌다.

처음에는 단순 해킹 사고로 여겨졌지만, 정부의 공식 조사 결과는 충격 그 자체였다. 3년 전부터 SKT 서버에 몰래 잠입해 정보를 훔쳐간 해커들이 있었으며, 지금까지 드러난 유출 정보만 2천 700만 건으로 전해졌기 때문이다.

전문가들은 “이 정도면 국가 기간통신망이 뚫린 수준”이라고 입을 모았다.

SKT 서버, 3년 전부터 침입당해

19일, 과학기술정보통신부와 민간 보안전문가들이 참여한 민관합동조사단은 SKT 유심 해킹에 대한 중간 발표를 내놨다.

조사 결과, 2022년 6월부터 SKT 서버에 심어진 악성코드가 단말기 고유식별번호(IMEI), 유심 고유정보(IMSI), 이름과 생년월일, 이메일 등 개인정보를 2,700만 건 넘게 유출한 정황이 드러났다.

이들이 심은 악성코드는 ‘BPF도어(BPFDoor)’ 계열로, 글로벌 보안업계에서는 이미 정찰용 스파이웨어로 분류된 도구다. 총 25종의 악성코드가 확인됐으며, 상당수가 정보 수집과 장기 잠복에 특화된 것으로 분석됐다.

보안업계는 이번 사건의 양상이 단순 개인정보 탈취 수준이 아니라고 본다. 트렌드마이크로, PwC 등 글로벌 보안기업들은 해당 악성코드가 중국 해커조직 ‘레드 멘션(Red Menshen)’이 사용하는 것으로 보인다고 밝혔다.

이 조직은 과거 중동, 아시아 통신사를 겨냥해 비슷한 수법을 썼고, 중국 정부와의 연계 정황도 포착된 바 있다.

“보안도 안 되는데 개인정보는 평문 저장?”

한편, SKT는 “실제 피해 사례는 없다”고 해명했지만, 문제는 그게 전부가 아니었다. 서버에 저장된 정보가 암호화되지 않은 ‘평문’ 상태였다는 점이 드러나며 통신사의 기본 보안 태세에 대한 비판도 쏟아졌다.

이는 해커가 서버에 침입했을 때, 별다른 해독 절차 없이 그대로 개인정보를 읽을 수 있다는 뜻이다.

심지어 접속 기록을 고작 4개월치만 보관하고 있어 해커가 어떤 경로로 들어왔고, 어떤 정보를 빼냈는지 등 추격이 불가능하다.

이러한 점들은 개인정보를 다루는 통신사로서 보안의 기본조차 지키지 않았다는 비판으로 이어지고 있다.

전문가들은 해킹 자체보다도, 해킹이 일어난 후조차 피해 규모조차 제대로 파악할 수 없는 현실이 더 심각하다고 지적하고 있다.