4월 30일 오전 9시 15분 서울지하철 종로3가역 인근 SK텔레콤(SKT) 대리점 앞. 문이 열리기 전부터 매장 앞에는 유심 교체를 기다리는 사람들이 길게 줄을 섰다. 20여 명 대기자 중 상당수는 디지털 기기 사용에 익숙하지 않은 60, 70대 노년층이었다. 목발을 짚고 서 있는 이도 있었다. 줄 중간에 있던 60대 후반 최모 씨는 오전 8시 전부터 자리를 지키고 있었다. “유심 해킹 소식도 몰랐는데, 직장 동료들이 빨리 바꾸라고 해서 뛰어왔다”는 게 그의 설명이다. 최 씨는 통신사로부터 전화나 문자메시지 안내를 받지 못했다고 했다.

오전 9시 30분, 대리점 문이 열렸다. 직원이 나오고 앞사람부터 차례차례 대리점 안으로 들어갔다. 하지만 2시간을 기다린 사람들은 10분 만에 매장을 나왔다. “왜 이렇게 빨리 나왔느냐”는 기자 질문에 유심이 없다는 한숨 섞인 답이 돌아왔다. 대부분 유심 교체는커녕 유심보호서비스만 가입하고 다시 매장을 나서야 했다. 대리점에서 안내받은 유심 교체 시기는 빨라도 5월 중순. 직원들도 유심이 언제 재입고될지 모른다며 난감해했다.

대리점 돌고도 허탕

SKT유심 정보 유출 사고 이후 가입자들의 불안과 혼란이 증폭되고 있다. 피해 규모가 아직 명확히 밝혀지지 않은 가운데 네이버·카카오 등 국내 대표 정보기술(IT) 기업과 국가정보원 등 정부 부처까지 사내 공지를 통해 유심 교체를 권고했다. 가입자 휴대전화와 똑같은 복제폰이 만들어져 금융사기 등을 당할 수 있다는 소문이 확산하면서 전국 SKT 대리점마다 유심을 교체하려는 대기 행렬이 이어지고 있다.

종로3가역 인근 SKT 대리점에서 만난 40대 직장인 이모 씨는 대리점 뺑뺑이를 돌았다. 그는 “월요일부터 대리점 세 곳을 찾아갔지만 허탕만 쳤다”고 토로했다. 한 곳은 임시 휴무, 다른 곳은 공사 중이었다. “어디서 유심을 바꿀 수 있는지도 모르고 일일이 발품을 팔아야 했다”며 “운 좋게 줄을 서도 앞에서 유심이 동날지 몰라 불안하다”고 분통을 터뜨렸다.

유영상 SKT 대표이사가 이번 해킹 사태에 고개 숙여 사과했지만 가입자들의 불안은 가라앉지 않고 있다. 가입자 대부분이 금융 거래를 스마트폰으로 처리하고, 각종 인증서와 개인정보를 기기에 보관하고 있기 때문이다. 현재 10년째 가족 결합 요금제로 SKT를 이용 중인 20대 구모 씨는 “한 온라인 커뮤니티에서 해킹 이후 SKT 휴대전화로 로그인 인증번호를 입력하라는 문자가 10곳 넘게 동시다발적으로 왔고, 결국 휴대전화를 정지했다는 글을 봤다”며 “할머니·할아버지도 SKT를 쓰시는데 유심보호서비스를 스스로 가입할 줄 몰라서 걱정”이라고 불안을 토로했다.

5월 1일부터 시작된 징검다리 연휴를 맞아 인천국제공항도 유심 교체 후 출국하려는 SKT 가입자로 북새통을 이뤘다. 유심보호서비스는 해외 로밍 중에는 사용할 수 없기 때문에 해외여행을 앞둔 고객은 유심 교체에 더욱 매달릴 수밖에 없는 상황이다. 보안 우려가 국경 밖으로까지 번지고 있는 것이다.

보안 투자는 통신 3사 중 꼴찌

이번 유심 정보 유출 사고는 SKT의 핵심 가입자 정보·인증 관리 시스템인 HSS(Home Subscriber Server) 서버 3대가 해킹되면서 발생했다. 이 서버엔 SKT 가입자들의 유심 정보와 단말기 고유식별번호(IMEI), 인증키 등 주요 정보가 저장돼 있다. 은행으로 치면 계좌번호, 비밀번호, 잔고 정보가 모두 담긴 ‘금고’에 해당한다. 유영상 대표는 4월 30일 국회 과학기술정보방송통신위원회 청문회에서 이번 사고가 통신사 역사상 최악의 해킹 사고임을 인정했다.

문제는 SKT가 통신 3사 중 점유율 1위 기업임에도 정작 보안 투자 측면에선 가장 뒤처져 있다는 점이다. 과학기술정보통신부와 한국인터넷진흥원(KISA)의 정보보호 공시 포털에 따르면 지난해 SKT가 공시한 연간 정보보호 투자액은 2023년 대비 9% 증가한 약 600억 원으로, 경쟁사인 KT(1218억 원)의 절반 수준이다. 앞서 2023년 개인정보 유출 사고를 겪은 LG유플러스(632억 원)는 지난해 전년 대비 보안 투자를 43% 늘린 바 있다.

황석진 동국대 정보보호대학원 교수는 “현 단계에서 가능한 위험은 문자메시지 인증 가로채기나 발신자 위장 문자메시지 정도”라고 분석하면서 “좀 더 심각한 문제는 초동대응 부실”이라고 지적했다. 황 교수는 “통신사 서버에 해킹 프로그램이 깔리는 건 쉽게 일어날 수 없는 일”이라며 “SKT가 보안을 얼마나 소홀히 했는지 방증하는 사례”라고 말했다. 실제로 SKT는 최근 3년간 해킹 메일 대응, 디도스 공격 방어 등 위기 대응 훈련엔 참여했지만, 정부 주도의 기술 점검이나 모의 침투 테스트 등을 받은 적은 없는 것으로 알려졌다. 황 교수는 “고객들을 줄 세울 게 아니라, 유심보호서비스를 통신사 차원에서 모든 기기에 일괄 적용하는 방안을 고려해야 한다”고 강조했다.

이번 유심 정보 유출 사고의 경위와 진상 규명에는 상당한 시간이 걸릴 전망이다. 고학수 개인정보보호위원회 위원장은 4월 28일 국회 정무위원회 전체 회의에서 포렌식 결과 발표 시점에 대해 “짧게는 2~3개월, 시스템이 복잡하면 1년 이상 걸릴 수도 있다”고 밝혔다. 이에 따라 법적 대응 움직임도 본격화하고 있다. 복수의 집단소송 로펌이 SKT를 상대로 위자료 청구소송을 준비하고 있는 상황이다. 법무법인 로집사와 대륜은 피해자 모집 공고와 함께 절차에 착수했다.

해킹 책임은 통신사에 있는데 불편과 불안은 가입자 몫이라는 비판이 커지고 있다. 5월 8일 국회 과방위는 SKT 단독 청문회에서 ‘번호이동 위약금 면제’ 안건을 논의할 예정이다. 또한 통신당국은 5월 1일 유심 부족 해소 시까지 SKT 신규 가입을 중단하라는 행정지도를 내렸다.

_{*유튜브와 포털에서 각각 ‘매거진동아’와 ‘투벤저스’를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.}