추천 콘텐츠
당신의 재산이 도둑맞는다면
bkjn review
SK텔레콤은 해야 할 일을 못 한 것이 아니라 안 한 겁니다.
당신의 재산이 도둑맞는다면
2025년 4월 28일
SK텔레콤 해킹 사태로 우리나라 국민 절반에 해당하는 2300만 명의 개인정보가 유출되었습니다. 주말 사이 혼란도 있었고 불안도 커졌죠. 일단 ‘과도한 우려’는 금물이라는 조언이 나옵니다. 틀린 이야기는 아니죠. 너도나도 최악의 경우를 상정하고 통신사를 옮기려 하는 등의 움직임이 생긴다면 뱅크런에 맞먹는 혼란이 닥칠 수도 있습니다. 하지만 개인의 입장에서는 아무리 우려해도 과도하지 않습니다. 엄청난 정보가 털려서는 아닙니다. 어디부터 어디까지 털렸는지 잘 모르기 때문입니다.
이번에 뚫린 것은 ‘홈 가입자 서버(HSS)’입니다. 가입자의 유심 정보와 음성 서비스 제공에 필요한 정보 등이 저장된 곳입니다. 한마디로 사용자의 휴대전화 사용 관련 정보를 전부 갖고 있는 곳이 해킹당했다는 뜻입니다. 새로운 휴대전화를 구입해서 유심을 옮겨 꽂으면 바로 문자 메시지나 음성 통화를 사용할 수 있죠. 사용하던 요금제 그대로 데이터 사용도 가능하고요. 이걸 가능하게 하는 모든 정보가 통째로 넘어갔을 가능성이 있습니다. 물론, 피해 규모가 어느 정도인지는 아직 조사가 더 필요합니다.
유심 정보만으로 은행 계좌나 가상 자산 계좌를 털어갈 수는 없습니다. 하지만 다른 정보까지 같이 가지고 있다면 얘기가 다릅니다. 예를 들어 범죄 조직이 누군가의 은행 계좌번호와 비밀번호를 갖고 있다고 가정해 보죠. 그것만으로는 계좌에서 돈을 빼내기 쉽지 않을 겁니다. 하지만 그 사람이 받아야 할 전화 통화나 문자 메시지를 가로챌 수 있다면 범죄는 쉬워집니다. 본인 확인 절차를 뚫을 수 있게 될 테니까요. 실제로 피쳐폰 시대에 복제 폰을 이용한 소액 결제 사기가 꽤 큰 문제로 떠오른 일이 있습니다. 스마트폰 시대로 접어들며 잠잠해진 것인데, 이번 해킹으로 복제 폰 공포가 다시 살아나고 있습니다.
이용자가 할 수 있는 조치는 많지 않습니다. 일단 ‘유심 보호 서비스’에 가입하는 것이 최선입니다. 유출된 유심 정보로 다른 휴대전화를 개통할 수 없도록 하는 서비스입니다. 유심 자체를 새로 바꾸는 것이 가장 마음이 편할 텐데, 이건 좀 기다려야 합니다. 현재 보유 재고가 100만 개 수준이기 때문입니다.
보안상의 문제
사실, SK텔레콤도 엄밀히 말하자면 피해자입니다. 악의를 가진 해커로부터 공격당한 것이 다름 아닌 SK텔레콤의 서버니까요. 다만, 보안에 소홀해서 당한 것인지, 도저히 예측할 수 없는 고차원의 해킹 공격을 당한 것인지에 따라 SK텔레콤 측의 책임이 무게를 달리하게 될 겁니다.
결론적으로 이번에 사용된 수법은 4년 전부터 경고가 있었던 것입니다. 해킹에 사용된 악성 코드는 BPF도어라는 것으로, 지난 2021년 글로벌 컨설팅 업체인 PwC사의 〈위협 보고서〉를 통해 소개된 바 있습니다. 해당 보고서에서는 중국의 해커 그룹인 레드 멘션(Red Menshen)을 BPF도어 해킹의 배후로 꼽았고요. 실제 범죄도 일어났습니다. 2024년에만 중동과 아시아 지역을 중심으로 총 6건의 공격이 있었습니다. 그러니 예측할 수 있는 공격에 SK텔레콤이 당했다고도 이야기할 수 있습니다.
왜 이런 일이 벌어진 것일까요. SK가 능력이 없어서일까요. 그렇게 단정 짓기는 힘듭니다. 새삼스럽지만, 우리나라의 대기업은 대부분 도전과 혁신을 통해 성장했습니다. 물론, 그 과정에 정경 유착도 있었고, 기형적인 대기업 몰아주기 정책도 있었죠. 하지만 그 모든 것을 기회로 삼아 새로운 사업 분야를 개척했고, 성공을 거두어 냈습니다. 대기업으로 성장한 기업들은 나름의 역량이 있습니다.
혁신의 SK
SK 또한 마찬가지입니다. 섬유 회사로 시작해 지금은 석유, 통신, 반도체라는 세 개의 기둥을 탄탄히 세우고 있죠. 사실, SK는 이동 통신 시장에 진출하기 위해 1980년대부터 시장 진출의 기회를 엿봤습니다. 그 결과 휴대전화 대중화와 함께 SK텔레콤은 국내 시장 1위 사업자로 자리를 굳히게 됩니다. 하지만, SK텔레콤은 망사업자일 뿐입니다. 모바일 시대의 주인공이 아니죠. 기계를 만들거나, 서비스를 만드는 쪽이 주인공입니다. 애플과 구글, 메타와 아마존처럼 말입니다.
SK는 망사업자, 그 이상을 원했습니다. 그래서 콘텐츠 사업 쪽을 넘봅니다. 음원 스트리밍 서비스, 멜론입니다. 애플이 애플 뮤직을 론칭한 것처럼 말이죠. 검색엔진 서비스 라이코스를 인수해 네이트도 론칭합니다. 싸이월드도 인수했죠. OTT 서비스 ‘oksusu(옥수수)’도 선보였습니다. 웨이브(Wavve)의 전신입니다.
하지만 그 무엇도 생각만큼의 성공을 거두지는 못했습니다. 그러다 기회가 왔습니다. 생성형 AI 시대입니다. 지금까지 SK텔레콤은 현금을 따박따박 벌어다 주는 역할을 했습니다. 2024년에는 100분기 연속 흑자를 기록하며 영업이익 1조 8234억 원을 기록했죠.
하지만 판이 바뀌고 있습니다. 당장 미래 먹거리 HBM을 만드는 SK하이닉스가 급성장하고 있죠. 패러다임이 바뀔 때가 도전과 혁신의 기회입니다. SK는 AI 분야에 진격의 투자를 시작했습니다. 오픈AI의 가장 강력한 경쟁자로 꼽히는 앤트로픽에 1억 달러를 투자했고, 생성형 AI 검색 스타트업 퍼플렉시티에도 1000만 달러를 투자했죠. 이뿐만이 아닙니다. AI 인프라 구축 업체, GPU 기반 클라우드 서비스 플랫폼 등에도 투자를 이어 갔습니다. AI 데이터 시장 진출을 위한 발판입니다.
그런데 이 투자 목록에 보안 업체는 없습니다. 압도적인 업계 1위 SK텔레콤은 2024년 약 600억 원을 보안에 투자했습니다. KT는 약 1217억 원, LGU+는 약 631억 원을 투자한 것에 비해 적은 금액입니다. 보안 투자에 돈을 아낀 대신 AI 등의 신규 사업 투자에는 과감했습니다. 지난해 SK텔레콤의 R&D 투자 규모는 3928억 원을 기록했습니다. 그러니까, 못 한 것이 아니라 안 한 겁니다.
안 해도 되는 이유
보안은 문제가 발생하기 전까지는 비용일 뿐입니다. 소홀히 한다고 티가 나지도 않죠. 게다가 우리나라에서는 사고가 나도 책임의 범위가 제한적입니다. 지난 2008년 GS 칼텍스는 약 1150만 명의 고객 정보를 유출했습니다. GS 칼텍스의 자회사 직원이 고객 정보를 빼내 한 변호사 사무장에게 팔아넘기려다 적발된 것입니다. 범죄를 공모한 일당은 최고 1년 6개월 형을 선고받았습니다. GS 칼텍스는 아무런 책임을 지지 않았죠.
2008년 옥션은 해커에게 공격받아 고객 1080만 명의 정보가 유출되었습니다. 법원은 옥션도 피해자이며, 책임은 없다고 봤습니다. 2014년에는 신용카드사 3곳에서 2000만 명의 개인정보가 새어나갔습니다. 법원은 카드사가 피해자에 대해 각 10만 원씩 배상할 것을 판결했습니다. 배상금은 6년 만에 입금되었습니다. 가장 최근의 사례로는 LGU+를 들 수 있습니다. 2018년 해킹되었던 고객인증시스템과 관련해 2023년에야 68억 원의 과징금을 물었는데, LGU+의 연매출이 13조 원 규모라는 것을 생각하면 미미한 수준입니다. 고객인증시스템이 부가서비스와 관련된 것이라 기준이 되는 매출을 부가서비스 관련 매출로만 봐야 한다는 피고 측의 주장이 받아들여진 것입니다.
이번에 뚫린 것은 ‘홈 가입자 서버(HSS)’입니다. 가입자의 유심 정보와 음성 서비스 제공에 필요한 정보 등이 저장된 곳입니다. 한마디로 사용자의 휴대전화 사용 관련 정보를 전부 갖고 있는 곳이 해킹당했다는 뜻입니다. 새로운 휴대전화를 구입해서 유심을 옮겨 꽂으면 바로 문자 메시지나 음성 통화를 사용할 수 있죠. 사용하던 요금제 그대로 데이터 사용도 가능하고요. 이걸 가능하게 하는 모든 정보가 통째로 넘어갔을 가능성이 있습니다. 물론, 피해 규모가 어느 정도인지는 아직 조사가 더 필요합니다.
유심 정보만으로 은행 계좌나 가상 자산 계좌를 털어갈 수는 없습니다. 하지만 다른 정보까지 같이 가지고 있다면 얘기가 다릅니다. 예를 들어 범죄 조직이 누군가의 은행 계좌번호와 비밀번호를 갖고 있다고 가정해 보죠. 그것만으로는 계좌에서 돈을 빼내기 쉽지 않을 겁니다. 하지만 그 사람이 받아야 할 전화 통화나 문자 메시지를 가로챌 수 있다면 범죄는 쉬워집니다. 본인 확인 절차를 뚫을 수 있게 될 테니까요. 실제로 피쳐폰 시대에 복제 폰을 이용한 소액 결제 사기가 꽤 큰 문제로 떠오른 일이 있습니다. 스마트폰 시대로 접어들며 잠잠해진 것인데, 이번 해킹으로 복제 폰 공포가 다시 살아나고 있습니다.
이용자가 할 수 있는 조치는 많지 않습니다. 일단 ‘유심 보호 서비스’에 가입하는 것이 최선입니다. 유출된 유심 정보로 다른 휴대전화를 개통할 수 없도록 하는 서비스입니다. 유심 자체를 새로 바꾸는 것이 가장 마음이 편할 텐데, 이건 좀 기다려야 합니다. 현재 보유 재고가 100만 개 수준이기 때문입니다.
보안상의 문제
사실, SK텔레콤도 엄밀히 말하자면 피해자입니다. 악의를 가진 해커로부터 공격당한 것이 다름 아닌 SK텔레콤의 서버니까요. 다만, 보안에 소홀해서 당한 것인지, 도저히 예측할 수 없는 고차원의 해킹 공격을 당한 것인지에 따라 SK텔레콤 측의 책임이 무게를 달리하게 될 겁니다.
결론적으로 이번에 사용된 수법은 4년 전부터 경고가 있었던 것입니다. 해킹에 사용된 악성 코드는 BPF도어라는 것으로, 지난 2021년 글로벌 컨설팅 업체인 PwC사의 〈위협 보고서〉를 통해 소개된 바 있습니다. 해당 보고서에서는 중국의 해커 그룹인 레드 멘션(Red Menshen)을 BPF도어 해킹의 배후로 꼽았고요. 실제 범죄도 일어났습니다. 2024년에만 중동과 아시아 지역을 중심으로 총 6건의 공격이 있었습니다. 그러니 예측할 수 있는 공격에 SK텔레콤이 당했다고도 이야기할 수 있습니다.
왜 이런 일이 벌어진 것일까요. SK가 능력이 없어서일까요. 그렇게 단정 짓기는 힘듭니다. 새삼스럽지만, 우리나라의 대기업은 대부분 도전과 혁신을 통해 성장했습니다. 물론, 그 과정에 정경 유착도 있었고, 기형적인 대기업 몰아주기 정책도 있었죠. 하지만 그 모든 것을 기회로 삼아 새로운 사업 분야를 개척했고, 성공을 거두어 냈습니다. 대기업으로 성장한 기업들은 나름의 역량이 있습니다.
혁신의 SK
SK 또한 마찬가지입니다. 섬유 회사로 시작해 지금은 석유, 통신, 반도체라는 세 개의 기둥을 탄탄히 세우고 있죠. 사실, SK는 이동 통신 시장에 진출하기 위해 1980년대부터 시장 진출의 기회를 엿봤습니다. 그 결과 휴대전화 대중화와 함께 SK텔레콤은 국내 시장 1위 사업자로 자리를 굳히게 됩니다. 하지만, SK텔레콤은 망사업자일 뿐입니다. 모바일 시대의 주인공이 아니죠. 기계를 만들거나, 서비스를 만드는 쪽이 주인공입니다. 애플과 구글, 메타와 아마존처럼 말입니다.
SK는 망사업자, 그 이상을 원했습니다. 그래서 콘텐츠 사업 쪽을 넘봅니다. 음원 스트리밍 서비스, 멜론입니다. 애플이 애플 뮤직을 론칭한 것처럼 말이죠. 검색엔진 서비스 라이코스를 인수해 네이트도 론칭합니다. 싸이월드도 인수했죠. OTT 서비스 ‘oksusu(옥수수)’도 선보였습니다. 웨이브(Wavve)의 전신입니다.
하지만 그 무엇도 생각만큼의 성공을 거두지는 못했습니다. 그러다 기회가 왔습니다. 생성형 AI 시대입니다. 지금까지 SK텔레콤은 현금을 따박따박 벌어다 주는 역할을 했습니다. 2024년에는 100분기 연속 흑자를 기록하며 영업이익 1조 8234억 원을 기록했죠.
하지만 판이 바뀌고 있습니다. 당장 미래 먹거리 HBM을 만드는 SK하이닉스가 급성장하고 있죠. 패러다임이 바뀔 때가 도전과 혁신의 기회입니다. SK는 AI 분야에 진격의 투자를 시작했습니다. 오픈AI의 가장 강력한 경쟁자로 꼽히는 앤트로픽에 1억 달러를 투자했고, 생성형 AI 검색 스타트업 퍼플렉시티에도 1000만 달러를 투자했죠. 이뿐만이 아닙니다. AI 인프라 구축 업체, GPU 기반 클라우드 서비스 플랫폼 등에도 투자를 이어 갔습니다. AI 데이터 시장 진출을 위한 발판입니다.
그런데 이 투자 목록에 보안 업체는 없습니다. 압도적인 업계 1위 SK텔레콤은 2024년 약 600억 원을 보안에 투자했습니다. KT는 약 1217억 원, LGU+는 약 631억 원을 투자한 것에 비해 적은 금액입니다. 보안 투자에 돈을 아낀 대신 AI 등의 신규 사업 투자에는 과감했습니다. 지난해 SK텔레콤의 R&D 투자 규모는 3928억 원을 기록했습니다. 그러니까, 못 한 것이 아니라 안 한 겁니다.
안 해도 되는 이유
보안은 문제가 발생하기 전까지는 비용일 뿐입니다. 소홀히 한다고 티가 나지도 않죠. 게다가 우리나라에서는 사고가 나도 책임의 범위가 제한적입니다. 지난 2008년 GS 칼텍스는 약 1150만 명의 고객 정보를 유출했습니다. GS 칼텍스의 자회사 직원이 고객 정보를 빼내 한 변호사 사무장에게 팔아넘기려다 적발된 것입니다. 범죄를 공모한 일당은 최고 1년 6개월 형을 선고받았습니다. GS 칼텍스는 아무런 책임을 지지 않았죠.
2008년 옥션은 해커에게 공격받아 고객 1080만 명의 정보가 유출되었습니다. 법원은 옥션도 피해자이며, 책임은 없다고 봤습니다. 2014년에는 신용카드사 3곳에서 2000만 명의 개인정보가 새어나갔습니다. 법원은 카드사가 피해자에 대해 각 10만 원씩 배상할 것을 판결했습니다. 배상금은 6년 만에 입금되었습니다. 가장 최근의 사례로는 LGU+를 들 수 있습니다. 2018년 해킹되었던 고객인증시스템과 관련해 2023년에야 68억 원의 과징금을 물었는데, LGU+의 연매출이 13조 원 규모라는 것을 생각하면 미미한 수준입니다. 고객인증시스템이 부가서비스와 관련된 것이라 기준이 되는 매출을 부가서비스 관련 매출로만 봐야 한다는 피고 측의 주장이 받아들여진 것입니다.
카드사 개인정보 유출 사태는 법원이 피해 고객들의 손을 확실하게 들어준 첫 사례였습니다. 그러나 판결이 나기까지는 2년, 10만 원을 배상받기까지는 6년이 걸렸습니다. 당시 정보 유출 카드사 중 한 곳이었던 NH농협카드 대표는 ‘우리가 피해자’라고 발언해 뭇매를 맞기도 했죠. 출처: YTN
법원은 왜 이런 판결을 반복하는 것일까요. 개인정보 유출로 발생하는 피해는 대개의 경우 몇백만, 몇천만 명의 개인이 나누어 가지게 됩니다. 스팸 전화와 문자, 스미싱 위험 등의 형태로 나타나죠. 금전적인 손해로 이어져도 개인정보 유출과의 상관관계가 명확하지 않습니다. 게다가 이와 같은 피해를 법원이 적극적으로 인정하기 시작하면 소송 건수가 폭발할 수 있습니다. 법원이 개인정보와 보안의 중요성을 인식하는 수준도 전반적으로 보수적인 데다 그마저도 재판부마다 제각각입니다. 하지만 이런 인식은 뒤떨어진 것입니다.
내 아이디의 가격
개인정보의 가치는 얼마쯤일까요. 요즘 시세를 짐작해 볼 수 있는 사건이 발생했습니다. SK텔레콤 사태가 워낙 파장이 큰 터라 묻히기는 했습니다만, 최근 KS한국고용정보가 해킹 공격을 받아 임직원들의 개인정보가 유출되었습니다. 인사과에서 갖고 있을 만한 정보는 모두 가져갔습니다. 소속 임직원의 이름과 생년월일, 주민등록번호 뒷자리를 비롯해 이메일과 비밀번호, 주소, 계좌번호, 전화번호는 물론이고 신분증 사본, 통장 사본, 각종 공문서까지 유출되었습니다. 현재 다크웹에서는 이 해킹으로 손에 넣은 개인정보 22GB 분량의 데이터가 2000만 원에 거래되고 있습니다.
불법이라 하더라도 가격이 붙어 거래된다면 개인정보에는 가치가 있습니다. 일종의 재산이라고 볼 수도 있겠죠. 실제로 학계에서는 개인정보를 재산권의 관점에서 접근하는 시도가 이루어지고 있습니다. 현재 각종 서비스에서 요구하는 개인정보 활용 동의는 형식적인 것으로, 개인이 자신의 데이터로부터 발생하는 경제적 이익을 누릴 수 없습니다. 즉, SK텔레콤이 수집한 개인정보를 마케팅 수단으로 활용하여 이익을 창출해도 개인정보의 주인에게는 보상이 돌아가지 않는다는 것입니다. 이를 개선해 데이터 제공자인 개인에게도 공정하게 이익이 분배될 수 있는 제도가 필요하다는 주장입니다.
학계 일부만의 의견이 아닙니다. 국가기관인 개인정보위원회의 위원장도 개인정보의 재산권에 관해 언급할 정도니까요. 금융권의 ‘마이데이터’ 사업 등 개인 정보를 데이터로 개방해 활용하는 사례가 늘면서 개인정보 활용이 새로운 이윤 창출의 기회로 작동하기 때문에 나오는 얘기입니다. 그렇다면 내 아이디는, 내 주민번호는 나의 인격임과 동시에 나의 재산이기도 합니다. 이러한 새로운 개념이 법원에도, 기업의 사업 계획에도 적용될 필요가 있습니다.
얼마 전 구글이 300억 달러짜리 기업 인수에 나섰다는 소식을 전해드렸습니다. 보안 스타트업 ‘위즈’ 입니다. 클라우드와 AI에 기업의 미래를 걸고 있는 구글은 보안이 결국 AI 시대의 성패를 가를 핵심 역량임을 잘 알고 있는 겁니다. 도둑이 쉽게 열 수 있는 금고를 가진 은행은 외면받게 되어 있습니다. 국가로부터 제재도 받을 수 있겠죠. 우리의 개인정보가 재산이라면, 우리의 재산을 맡아 가지고 있는 기업 모두가 그만큼의 책임을 져야 합니다. SK텔레콤은 그 책임을 다하지 못했습니다. 사후적인 조치만으로 이번 사태가 끝나서는 안 되는 까닭입니다.
내 아이디의 가격
개인정보의 가치는 얼마쯤일까요. 요즘 시세를 짐작해 볼 수 있는 사건이 발생했습니다. SK텔레콤 사태가 워낙 파장이 큰 터라 묻히기는 했습니다만, 최근 KS한국고용정보가 해킹 공격을 받아 임직원들의 개인정보가 유출되었습니다. 인사과에서 갖고 있을 만한 정보는 모두 가져갔습니다. 소속 임직원의 이름과 생년월일, 주민등록번호 뒷자리를 비롯해 이메일과 비밀번호, 주소, 계좌번호, 전화번호는 물론이고 신분증 사본, 통장 사본, 각종 공문서까지 유출되었습니다. 현재 다크웹에서는 이 해킹으로 손에 넣은 개인정보 22GB 분량의 데이터가 2000만 원에 거래되고 있습니다.
불법이라 하더라도 가격이 붙어 거래된다면 개인정보에는 가치가 있습니다. 일종의 재산이라고 볼 수도 있겠죠. 실제로 학계에서는 개인정보를 재산권의 관점에서 접근하는 시도가 이루어지고 있습니다. 현재 각종 서비스에서 요구하는 개인정보 활용 동의는 형식적인 것으로, 개인이 자신의 데이터로부터 발생하는 경제적 이익을 누릴 수 없습니다. 즉, SK텔레콤이 수집한 개인정보를 마케팅 수단으로 활용하여 이익을 창출해도 개인정보의 주인에게는 보상이 돌아가지 않는다는 것입니다. 이를 개선해 데이터 제공자인 개인에게도 공정하게 이익이 분배될 수 있는 제도가 필요하다는 주장입니다.
학계 일부만의 의견이 아닙니다. 국가기관인 개인정보위원회의 위원장도 개인정보의 재산권에 관해 언급할 정도니까요. 금융권의 ‘마이데이터’ 사업 등 개인 정보를 데이터로 개방해 활용하는 사례가 늘면서 개인정보 활용이 새로운 이윤 창출의 기회로 작동하기 때문에 나오는 얘기입니다. 그렇다면 내 아이디는, 내 주민번호는 나의 인격임과 동시에 나의 재산이기도 합니다. 이러한 새로운 개념이 법원에도, 기업의 사업 계획에도 적용될 필요가 있습니다.
얼마 전 구글이 300억 달러짜리 기업 인수에 나섰다는 소식을 전해드렸습니다. 보안 스타트업 ‘위즈’ 입니다. 클라우드와 AI에 기업의 미래를 걸고 있는 구글은 보안이 결국 AI 시대의 성패를 가를 핵심 역량임을 잘 알고 있는 겁니다. 도둑이 쉽게 열 수 있는 금고를 가진 은행은 외면받게 되어 있습니다. 국가로부터 제재도 받을 수 있겠죠. 우리의 개인정보가 재산이라면, 우리의 재산을 맡아 가지고 있는 기업 모두가 그만큼의 책임을 져야 합니다. SK텔레콤은 그 책임을 다하지 못했습니다. 사후적인 조치만으로 이번 사태가 끝나서는 안 되는 까닭입니다.
* bkjn review 시리즈는 월~목 오후 5시에 발행됩니다. 테크와 컬처, 국제 정치를 새로운 시각으로 이야기합니다.