NSP통신

(서울=NSP통신) 이복현 기자 = 경제정의실천시민연합(이하 경실련)이 성명서를 통해 최근 SK텔레콤(017670)와 KS한국고용정보에서 발생한 대규모 개인정보 유출 사고로 인해 2차 피해 가능성에 대한 사회적 혼란과 심각한 우려에 실질적인 대책을 마련하라고 촉구했다.

지난주 4월 19일 SKT의 시스템에 침입한 해커의 악성코드로 가입자 2300만여명의 유심정보(가입자 전화번호, 가입자식별키, 유심 인증키 등 4종) 등이 대거 유출됐고, 또 KS한국고용정보의 인사시스템 계정 탈취로 22GB 분량(3만6000여명)의 암호화되지 않은 개인정보(신분증·통장 사본, 사진, 근로계약서, 전자서명, 주민등록등본, 가족관계·혼인관계증명서 등)가 대거 유출돼 현재 다크웹 해킹 포럼에서 거래되고 있는 것으로 알려졌다.

트랜드마이크로에 따르면 국내 통신사를 타겟으로 2024년 7월 및 12월부터 지능형지속공격(APT) 그룹 Red Menshen의 소행으로 추정되는 백도어(BPFDoor) 공격이 있었던 것으로 확인됐다.

재발 가능성과 2차 피해의 심각성은 백도어와 연결된 해킹 대상 시스템에 악성코드나 바이러스가 포함된 자동화 툴킷 프로그램(소위 ‘exploits’)에 감염되면 리버스 쉘(reverse shell)을 통해 해커가 또다시 침입해 관리자 권한까지도 탈취할 수 있게 된다. 이는 유출된 유심정보와 신분증 사본이 본인(실명)확인에 악용되면 전자금융거래와 전자상거래뿐만 아니라 정부24 등의 각종 비대면 서비스 피해로도 확대될 수 있다.

경실련은 이에 정부와 SKT 등에 첫째 불충분한 피해현황을 모두 투명하게 공개하고 소비자들에게 빠짐없이 통지할 것을 요구했다.

경실련은 “민관합동조사단은 오늘 유출된 유심정보가 가입자 전화번호, 가입자식별키, 유심 인증키 등 유심 복제에 활용될 수 있는 4종과 유심정보 처리 등에 필요한 관리용 정보 21종으로 한정된다고 발표했다. 하지만 유출된 데이터 필드와 관련 건수, 영향을 받은 가입자 그룹(예 일반 개인 vs 기업 고객), 유심 인증키의 암호화 여부 등 기술적 세부사항이 공개되지 않아 2차 피해 가능성에 대한 객관적 평가와 신속·정확한 대응이 어려운 상황”이라며 “따라서 SKT는 개인정보보호법 제34조(정보주체에게 유출 사실을 구체적으로 통지해야 할 의무)에 따라 피해사실을 소비자들에게 즉각 통지하고, 2차 피해 방지 등을 위해 유출된 유심정보 등 관련 피해사실을 모두 투명하게 공개할 것”을 요구했다.

둘째 독립적인 제3자 감사기관을 통해 객관적인 사고조사를 실시하고 조사결과 보고서를 투명하게 공개하라고 밝혔다.

경실련은 “민관합동조사단의 사고조사가 예고된 가운데 SKT는 현재까지 복제폰 등 유출된 유심정보의 악용 사례 등이 없다고 일축하고 있다. 하지만 이는 외부 전문가의 검증 없이 자체적으로 내린 셀프 조사라는 점 때문에 신뢰성에 의문이 있을 수 있다”며 “독립적인 제3자 감사기관을 통한 이번 사고의 원인과 피해 규모에 대해 정부의 객관적인 조사가 요구되며 외부 감사기관의 검증을 거쳐서 민관합동조사단의 조사 내용을 전면 공개할 것”을 촉구했다.

셋째 전자금융거래 등 2·3차 피해에 대한 보상 범위와 한도를 명확하게 제시하라고 강조했다.

경실련은 “SKT가 자사의 유심보호서비스에 가입한 경우 유심도용 문제를 해결할 수 있다고 주장하며 해당 가입자의 피해에 대해 100% 보상하겠다고 발표했지만 2·3차 피해에 대한 보상의 범위와 한도가 명시되지 않아 실제 피해 발생 시 분쟁의 소지가 있다”며 “유출된 유심정보를 악용한 전자금융사기, 전자상거래사기 등의 대규모 거래피해가 발생할 경우 그 피해도 분쟁의 소지가 있다”라고 지적했다. 이에 “2·3차 피해에 대해 정부와 SKT는 고객의 특정 부가서비스 가입여부와 무관하게 발생 가능한 피해 범위와 그 보상 한도를 명확하게 제시해 딴소리할 여지가 없게끔 구체적인 보상책을 내놓을 것”을 촉구했다.

넷째 신고지연 사유를 해명하고 재발방지 대책을 강구하라고 밝혔다.

경실련은 “SKT는 4월 18일 오후 6시 9분에도 시스템 이상 징후를 최초 감지했으나, 한국인터넷진흥원에 신고한 시점은 45시간이 지난 4월 20일 오후 4시 46분으로, 이는 24시간 내 신고의무(정보통신망법 시행령 제58조의2)를 위반한 것”이라며 “지난해(2024년 7월 및 동년 12월)에도 이미 관련 해킹 공격이 있었음에도 SKT는 이러한 사실을 즉각 발표하지 않았다가 결국 초동 대응에 실패한 것”이라고 밝혔다. 따라서 정부와 SKT는 신고지연 사유에 대해 해명하고 재발방지 대책을 마련해야 한다고 덧붙였다.

다섯째 eSIM 전환 등을 통해 물리적인 유심카드 없이 교체할 수 있도록 대안을 마련하고 위약금 없이 번호이동을 할 수 있도록 조치하라고 밝혔다.

경실련은 “4월 28일부로 시작된 SKT 유심 무료 교체 서비스는 사전 예약제 도입에도 불구하고 하루동안 9만명 이상의 대기자가 몰려 현재 재고 부족(현재 100만개)으로 인해 사회적 혼란이 가중되고 전체 가입자 교체 완료에는 수개월이 소요될 것으로 예상된다”며 “정부와 SKT는 이번 유출사고의 시급성을 고려하여, 신속한 유심카드 공급뿐만 아니라, 물리적인 유심카드 교체 없이 eSIM 전환 등을 통해 신속하게 교체할 수 있는 방안을 강구할 필요가 있다”라고 밝혔다.

마지막으로 KS한국고용정보의 개인정보 불법 보관(저장) 및 미암호화 처리 등 위반사실에 대해서도 엄격히 조사해 임직원들에 대한 행정·형사책임을 묻고 향후 개인정보위원회의 전수조사 등 재발방지책을 마련할 것을 촉구했다.

NSP통신 이복현 기자(bhlee2016@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.