![[fn사설] 누가 했는지도 모르는 SKT 해킹, 방지책이라도 확실히 세워야](https://image.fnnews.com/resource/media/image/2025/07/04/202507041427181345_l.jpg)
[파이낸셜뉴스] 2700만 개인정보가 유출된 SK텔레콤 해킹 사고의 최종 조사 결과가 4일 나왔다. SK텔레콤이 해커 공격과 침해 사실을 4년 전에 발견하고도 즉각 신고하지 않고 제대로 조치하지 않아 문제를 키웠다는 게 골자다. 과학기술정보통신부는 민관 합동 조사단이 SK텔레콤 서버 4만2600대를 전수 조사한 결과, 해커가 서버에 악성코드를 심었고 가입자 전원의 유심(USIM) 정보(9.82GB)를 빼내갔다고 발표했다.
사상 초유의 이번 해킹 사태는 SK텔레콤의 허술한 보안 체계와 자체 대응 실패, 신고 의무 미이행 등이 복합적으로 작용한 결과였다. 해커가 SK텔레콤 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일. 해커는 관리 계정이 암호화되지 않은 서버 28대를 손쉽게 뚫고 들어가 원격제어 기능이 있는 악성코드 33종을 심었다. 이후 4년여간 잠복해 있다가 지난 4월 18일 2700만 가입자 전원의 전화번호, 가입자식별번호(IMSI) 등 유심정보 25종(총 9.82GB)을 빼돌렸다.
지난 5월 발표한 과기부의 2차 조사 결과에 비해 SK텔레콤의 과실과 법 위반 사실을 더 구체적으로 명시하고 지적한 셈이다. 과기부는 SK텔레콤의 서버 관리 부실, 정보보호 인력 투자 부족 등 보안관리에 과실이 있었음을 확인하고 이용자의 계약 해지 시 위약금을 면제할 것을 요구했다. 이에 응하지 않을 시 시정명령과 등록취소 등 조치도 하겠다고 했다.
SK텔레콤 해킹 사고는 유사한 개별기업의 개인정보 유출과는 차원이 다르다. 우선 개인정보 유출 피해가 가입자 유심 정보 2700만 건으로 막대하다. 국내 1위, 국가기간 통신사의 보안체계가 허술하게 뚫렸고, 서버에 침투한 해커가 심어놓은 악성코드를 4년간 까맣게 몰랐다는 것도 충격적이다. 중국 해킹조직의 수법과 유사하다는 정도를 확인했을 뿐, 누가 무슨 이유로 해킹했는지는 끝내 명확하게 찾지도 못했다. 국가적 사이버안보를 위협한 중대한 사안으로 접근해 해법을 찾아야 한다는 의미다.
기업의 개인정보 유출 사고는 하루가 멀다하고 꼬리를 물고 있다. 올들어 GS25, GS샵, CJ올리브영, 예스24, 디올, 티파니앤코 등 다수의 개인정보 유출 사고가 터졌다. 사고가 나면 초반에 변명하기 바빴다. 해커 침투와 개인정보 유출 사실을 외부에 알리기를 쉬쉬하면서 빨리 벗어날 생각만 앞섰다. 내부적으로 수습하려다가 결국 들통이 났고 문제를 키웠다. 최초 신고가 늦었고, 고객들에게도 늦게 알렸다. SK텔레콤도 24시간내 신고 의무를 지키지 않고 "아직 피해 사례는 없다"고만 했다. 주무부처인 과기부도 두 차례 조사 결과와 입장이 달라 혼란을 더했다.
SK텔레콤 사태는 회사의 실수와 은폐, 관리 부실과 대응 실패 등이 총체적으로 확인됐다. 이제는 사후 보완 조치와 재발방지 이행 등 중요한 과정이 남아 있다. 이런 일련의 과정이 중요한 반면교사가 될 것이다. 국민 사이버안보 체계를 대수술하는 계기로 삼아야 한다. 국가전략핵심기술 기업과 통신·에너지·금융 등의 국가기간 인프라기업, 대량의 개인정보를 보유한 기업들의 보안 체계를 전면 재점검해야 할 것이다. 지능화하고 대형화하는 개인정보 유출 사고의 현실을 따라가지 못하는 미비한 법 제도도 다시 손봐야 할 것이다.
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지