"가입자는 최다, 보안 투자는 최하"…SKT 해킹사태에 집단소송 본격화

SK텔레콤(이하 SKT)에서 발생한 유심(USIM: 가입자 식별 모듈) 해킹 사고가 당초 예상한 피해범위보다 넓은 것으로 조사되면서 고객들의 불안이 높아지고 있다. 이러한 상황에서 이번 사태에 대한 집단소송까지 진행되면서 SKT의 보안에 대한 우려의 목소리는 더욱 높아질 전망이다.

이번 사고를 조사하고 있는 ‘SKT 침해사고 민관합동조사단’(이하 조사단)는 지난 19일 2차 조사를 발표했다. 이날 발표에 따르면, 29만여건의 단말기 고유식별번호(IMEI)가 유출됐을 가능성이 새롭게 확인됐다.

이날 발표에 따르면 조사단은 지금까지 총 23대의 서버 감염을 확인했다고 밝혔다. 이는 1차 발표 5대에서 18대가 추가된 수치다. 조사단은 이 중 15대에 대한 디지털 포렌식 분석을 완료했으며, 나머지 8대는 5월말까지 분석을 마칠 예정이라고 전했다.

조사단은 현재까지 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견‧조치했다. 또한 조사단은 또 앞서 1차 조사에서 발표했던 유출된 유심정보의 규모가 9.82GB, 가입자 식별키(IMSI) 기준 2695만7749건임을 재확인했다.

문제는 정보 유출이 사례가 더 늘어날 수 있다는 우려다. 조사단은 분석이 완료된 15대 서버 중 개인정보를 저장하는 2대를 확인하고 추가 조사를 실시했다. 이 서버들은 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 저장돼 있었던 것으로 나타났다. 조사 결과 해당 서버에 총 29만1831건의 IMEI가 포함된 사실을 확인했다.

또한 이번 조사에서 해킹을 위한 악성코드 설치는 2022년 6월 15일로, 3년여 전으로 조사됐다. SKT는 악성코드 설치 이후 3년여 동안 이를 알지 못한 것으로 드러났다. 실제 SKT는 이번 사고 발생 이후 악성코드를 인지했으며, 보안 조치 미흡 부문은 조사단이 확인 중인 상황이다.

다만 방화벽 로그 기록이 남아있는 기간(2024년 12월 3일부터 2025년 4월 24일)에는 자료유출이 없었으며, 악성코드가 최초 설치된 시점부터 로그가 없는 기간(2022년 6월 15일부터2024년 12월 2일)의 유출 여부는 현재까지 확인되지 않았다.

한편, 조사단은 현재까지 SK텔레콤의 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 진행했다. 특히 4차 점검에서는 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 도구를 적용했다. 이와 함께 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중이며, 현재까지 민간, 공공 분야 모두 추가 피해사례는 없는 것으로 확인됐다고 설명했다.

조사단은 "앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획"이라고 밝혔다.

◇ SKT “복제폰·금융 탈취 원천 차단 가능”… 고객 불만은 여전

SKT 역시 복제폰이나 금융 탈취 등 2차 피해를 원천 차단할 수 있는 ‘고객안심패키지’를 강조하며, 고객들의 우려를 줄이는데 집중하고 있다. SKT는 유심교체와 유심보호서비스를 통해 유심 복제 및 복제폰을 차단할 수 있다고 설명하고 있다. 특히 SKT는 복제된 단말이 네트워크에 접근하면 통신을 차단하는 ‘비정상인증차단시스템’(FDS)을 유심보호서비스에 적용했다. 현재 SKT는 유심보호서비스에 모든 가입자가 가입을 완료한 상황이다.

그러나 조사단의 2차 조사 발표와 SKT의 브리핑에도 여론은 싸늘하다. 특히 소비자들의 집단 소송이 본격화되고 있는 모습이다. 실제 약 1만여명의 소비자 집단소송을 담당하고 있는 법무법인 대륜은 지난 1일 SKT 유심 정보 유출 사태 관련 수사를 맡고 있는 서울 남대문경찰서에 유영상 SKT 대표이사와 보안 책임자 등을 업무상 배임‧위계공무집행방해 등 혐의로 고소·고발했다. 당시 유심 관련 정보의 중요성을 인지했음에도 관리를 등한시 했고, 사내 시스템에서 이상 징후를 인지한 후에도 한국인터넷진흥원에 뒤늦게 신고했다는 이유를 들었다.

이어 대륜은 최근 고소·고발 보충 이유서를 제출했다고 20일 밝혔다. 대륜 이번 보충 이유서를 통해 “SKT가 가장 많은 수의 가입자를 보유하고 있었음에도 불구하고 2019년부터 경쟁사 대비 적은 금액의 정보보호 투자비를 지출했다”고 지적했다.

실제 가입자 2307만명으로 최대 가입자를 보유한 SKT의 지난해 정보보호 투자비는 600억원으로 2022년 627억원 대비 4% 감소한 수치다. 이는 KT 투자비(가입자 1335만명, 1218억원)의 절반에 못미치며, LG유플러스 투자비(1094만명, 632억원)에도 미치지 못하는 수준이다. SKT의 가입자 1명당 정보보호금액은 2400원으로 KT(6700원), LG유플러스(4000원)에 비해 크게 떨어진다. 이러한 투자 감소는 이번 사고의 주요 원인으로 지목되고 있다.

이러한 지적에 대해 SKT는 정보보호 투자 규모를 연간 600억 원에서 최소 1천억 원 이상으로 확대하는 방안을 검토하고 있다. 실제 유영상 SKT 대표는 해킹사고 발생 이후 열린 정기회의에서 정보보호 투자 확대 필요성을 언급하며 “연간 정보보호 투자 규모를 1000억원 이상으로 늘리고, 전사적으로 보안 수준을 강화할 것”을 지시했다.