[비즈니스포스트] 해커(불법 침입자)가 SK텔레콤 가입자들의 유심(USIM·통화 연결이나 거래 승인 시 본인 인증) 정보가 담긴 통신망(네트워크) 서버(컴퓨터)에 침투해 악성코드(백도어 등)를 심은 것으로 드러나 가입자 유심 정보 유출과 빼낸 정보 악용에 따른 2차 피해 발생 가능성이 제기되고 있다. 이번 사태를 우리나라 기간통신망이 해커에게 뚫린 상황으로 봐야지, SK텔레콤의 정보보안 사고와 가입자 정보 유출 정도로 단순화해서는 상황의 심각성 파악은 물론 원인 진단과 재발 방지 대책이 제대로 만들어지기 어렵다는 지적이 나온다.

SK텔레콤 쪽이 이번 사안을 전산시스템과 네트워크를 운용하는 기업에서 흔히 발생할 수 있고, 경쟁 사업자 KT·LG유플러스에서도 이미 발생 한 바 있는 해킹과 가입자 정보 유출 사건으로 단순화하는 방식으로 사태의 심각성과 책임을 축소하려 한다는 비판도 제기된다.

우리나라 1위 이동통신 사업자로 가장 많은 가입자(2310만명)를 갖고 있는 SK텔레콤의 네트워크가 해커 손에 뚫렸고, 해커가 우리나라 기간통신망을 좌지우지될 수 있는 상태에 놓인 초유의 사태로 보고 대응해야 하는데, 그러지 않고 있다는 것이다.

이미 나라 운영과 시민 생활 대부분이 통신 기반의 온라인에서 이뤄지고 있다. 이런 흐름은 인공지능 대중화 바람 등을 타고 갈수록 가속화하고 있다. 이동통신망을 포함한 기간 통신망의 안정성이 무엇보다 중요해졌다. 이게 흔들리면 나라 운영과 시민들의 삶이 절딴나고, 이재명 더불어민주당 대선 경선 후보가 성장과 국가 경쟁력 강화 방안으로 내놓은 `AI 100조 투자' 공약 같은 것도 무용지물이 된다.

24일 통신 업계와 학계 관계자들의 말을 들어보면, 해커가 SK텔레콤 네트워크 서버에 침투해 악성코드를 심은 것으로 알려진 이번 사안에 대한 원인 진단과 재발 방지책 마련은 '우리나라 기간통신망이 해커한테 뚫렸다'는 것을 전제로 이뤄져야 한다. 

가입자 인증 정보가 유출됐을 수 있고, 이 정보가 대포폰과 복제폰 제작에 사용되는 등 2차 피해를 일으킬 수 있다는 점도 중요하게 살펴지고 대응책이 마련돼야 하지만, 우리나라 기간통신망이 뚫려 해커 손에 놀아날 수 있는 상황이었다는 점을 우선 순위에 놓고 원인 진단과 대응책 마련이 이뤄져야 한다는 것이다.

통신사 출신의 대학 교수는 비즈니스포스트와 통화에서 "우리나라 기간통신망이 해커가 접근해 '뭔 짓'이라도 할 수 있는 상태에 놓여 있었다는 게 핵심"이라며 "자칫 해커가 나쁜 마음을 갖고 SK텔레콤 유심 정보 저장 서버에 설치한 악성코드를 통해 다른 서버나 네트워크 장비로 바이러스를 퍼트리거나, 이를 발판으로 다른 중요 서버에도 악성코드를 심었다면 어쩔 뻔 했냐"고 짚었다. 그는 이어 "이런 점까지 감안해 각종 로그 데이터 분석과 서버 전수 점검 등을 해야 한다"고 덧붙였다.

일부 언론은 `북한 소행설'까지 퍼트리고 있다.

네트워크 장비 쪽을 전문으로 하는 업체 대표는 "기간 통신망 보안 사고의 원인 진단과 재발 방지책 마련은 최악의 상황을 전제로 이뤄지는 게 맞다"고 말했다.

류제명 과학기술정보통신부 네트워크정책실장은 비즈니스포스트와 통화에서 "지금까지 알려진 바로는 가입자 전화번호, 유심 인증 키 값, 국제 단말기 인증 키 값 등이 유출됐을 가능성이 있어 보인다"며 "악성코드가 발견된 곳이 네트워크 어느 단계에 설치돼 운용되는 서버인지를 파악해볼 필요성이 있어 보인다"고 말했다.
 
이들의 설명에 따르면, 유심 정보는 가입자 인증과 식별에 쓰인다. 이 정보가 담긴 서버는 통화 연결이나 거래 승인 수요가 발생했을 때 본인 여부를 인증해주는 구실을 한다. 이 기능이 오동작을 하면 바로 통신 장애 상태로 이어진다. 이 기능을 하는 서버에 악성코드가 심어져 있었던 것으로 드러났다.

이 서버에서 발견된 악성코드가 언제 심겨졌고, 다른 서버에도 심겨져 있지 않은지는 아직 제대로 점검되지 않은 상태다.

통신은 양 가입자를 연결한다는 점에서 SK텔레콤 통신망이 장애를 일으키면, 우리나라 전제 통신망이 장애 상태가 된다. 이렇게 기간 통신망에서 문제가 발생하면, KT 통신구 화재 때처럼 모든 통화는 물론이고 모바일 결제 등 온라인으로 이뤄지는 서비스가 올 스톱된다. 요즘 이슈가 되고 있는 챗지피티(GPT) 같은 서비스도 통신망이 안정적으로 운용되고 있는 상태에서만 온전히 이용될 수 있다. 앞서 SK텔레콤은 지난 22일 `2025년 4월19일 오후 11시경, 악성코드로 인해 SK텔레콤 고객님의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다'고 밝혔다.

이 업체는 이어 `현재 정확한 유출 원인과 규모 및 항목 등을 지속적으로 파악 중이며, 관련 법률에 따라 20일 한국인터넷진흥원(KISA)에 침해사고 사실을 즉시 신고했고, 22일 오전 10시 개인정보보호위원회에 개인정보 유출 정황을 신고하고 관련 조사에 적극적으로 협조하고 있다'고 덧붙였다.

이 업체는 또 '(고객 정보) 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하였으며, 해킹 의심 장비도 격리 조치했다. 지금까지 해당 정보가 실제로 악용된 사례는 확인되지 않았으나 고객님의 피해를 예방하기 위해 전체 시스템 전수 조사, 불법 유심 기변 및 비정상 인증 시도 차단 강화, 피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치 강화 등의 조치를 취하고 있다'고 밝혔다.

이후 SK텔레콤 쪽은 이번 사안과 관련해선 언급을 최소화하고 있다. "억측이 난무할 수 있어서"라고 했다.

업계에선 SK텔레콤이 이번 사안의 파장을 축소하기 위해 물밑에서 잰걸음을 하고 있는 것으로 파악한다. 한 통신사 관계자는 "벌써 일부 언론은 '북한 소행설'까지 제기하고 있다"며 "밑작업을 하고 있다고 봐야 하는 거 아니냐"고 말했다.

이에 주무 부처인 과학기술정보통신부가 이번 사안을 어떻게 보느냐에 관심이 쏠리고 있다. 과기정통부는 네트워크정책실장을 책임자로 비상대책반을 꾸려 한국인터넷진흥원과 함께 상황을 파악 중이다. SK텔레콤은 물론 다른 통신사들로부터도 통신망 보안 대응과 관련해 사실상 일일보고를 받고 있다.

23일엔 과기정통부 강도현 2차관이 국회 과학기술방송정보통신위원회 의원들에게 상황을 보고하고, SK텔레콤을 찾아 철저한 원인 진단과 재발 방지책 마련을 주문하기도 했다. 김재섭 선임기자