국회입법조사처 보고서…KT, LGU+ 이어 SKT 유심 정보 해킹
SKT 정보보호 투자 미흡…정부 인증 받았음에도 사고 발생
"인증 체계 개선하고 핵심 서버 주요기반시설 포함 해야"

[서울=뉴시스] 황준선 기자 = 2일 서울 시내 한 이동통신사 대리점 모습.이날 한국통신사업자연합회(KTOA)에 따르면 지난 4월 고객 정보 해킹사건이 발생한 SK텔레콤에서 다른 통신사로 이동한 고객은 전월 대비 87% 증가한 23만7000여명으로 나타난 가운데 SK텔레콤이 유심 교체에 속도를 내기 위해 오는 5일부터 신규가입·번호이동 영업을 중단을 발표하며 가입자 이탈은 늘어날 전망이다. 2025.05.02. hwang@newsis.com

[서울=뉴시스] 심지혜 기자 = 반복되는 이동통신사 해킹 사고 예방을 위해 관련 법 개정으로 정보보호 체계를 개선해야 한다는 분석이 나왔다. 정보보호예산이 정보기술부문 예산의 일정비율 이상이 되도록 하고 강화된 인증 기준을 적용하도록 해야 한다는 것이다. 또 주요 정보통신 기반시설의 지정 범위 확대도 요구된다.

국회입법조사처는 21일 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안' 보고서를 통해 이같은 내용을 발표했다.

이통사 해킹은 최근 SK텔레콤 뿐 아니라 앞서 2012년과 2014년 KT, 2023년 LG유플러스에서도 발생했다.

KT는 2012년 영업시스템이 뚫리며 약 870만 명의 이름·주민등록번호·사용 요금제 등 가입자 정보가 유출됐고, 2014년에는 홈페이지 취약점을 통한 해킹으로 약 1200만 명의 이름·주민번호·계좌번호 등이 외부로 유출됐다. 2023년에는 LG유플러스 고객인증시스템에서 2018년 유출된 것으로 추정되는 약 30만명의 이름·전화번호·주소·유심 정보 등이 불법거래 사이트에서 발견되며 해킹 피해가 뒤늦게 드러났다.

특히 SK텔레콤 해킹사고는 유심(USIM) 복제에 활용될 수 있는 주요 정보를 관리하는 중앙서버가 해킹됐다는 점에서 국내 이통사 역사상 최악의 보안 사고로 지적 받는다. SK텔레콤은 국내 이동통신 1위 사업자로 가장 많은 가입자를 확보하고 있다.

이에 2차례에 걸쳐 열린 국회 청문회에서는 SK텔레콤의 정보보호 관련 여러 미비점이 지적됐다.

정보보호 투자의 경우 지난해 기준, SK텔레콤의 투자 금액은 600억원으로 KT 1218억원의 절반에도 미치지 못하고 LG유플러스의 632억원보다 적은 금액이 집행됐다.

또 정부가 부여하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았음에도 해킹 사고가 발생하면서 해당 제도에 대한 실효성 지적도 받았다. 해킹된 홈가입자서버(HSS)가 국민 개인정보와 통신 안전을 지키는 시설임에도 정보통신기반 보호법상 주요정보통신 기반시설로 지정받지 못했다는 점도 미비점으로 꼽힌다.

보고서를 작성한 강은수 입법조사관은 "특정 국가나 조직이 이동통신사의 핵심 시스템을 해킹해 통신망을 장악하거나 마비시킬 경우 대규모 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 확산될 수 있다"며 "이러한 위협을 사전에 차단하고 해킹 사고를 예방하기 위해서는 정보보호 관련 제도 보완이 필수적"이라고 했다.

강 조사관은 향후 개선 과제로 정보보호 투자 확대를 우선 제시했다. 이통사의 정보보호 투자 확대를 유도하기 위해 정보통신망법을 개정하여 정보보호예산이 정보기술부문 예산의 일정비율 이상이 되도록 노력할 의무를 명시하는 방안을 고려해야 한다는 것이다.

인증제도 실효성 제고를 위해 정보통신망법을 개정 이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용하는 등 정보보호 인증 체계 전반을 개선할 필요가 있다고 제언했다.

이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용하고, 중대한 법령위반 시 인증을 취소할 수 있는 근거와 과징금 부과 근거를 마련하는 동시에 매년 1회 이상 실시하는 인증기관의 사후심사 시 현장심사를 강화할 필요가 있다고 봤다.

주요정보통신기반시설의 지정 범위를 확대하고 정보통신기반 보호법 시행령 개정을 통해 지정 절차를 강화하는 방안도 제안했다.

이번에 해킹된 SK텔레콤 서버가 보안 침해 시 국가 통신기반에 광범위한 혼란을 초래할 수 있음에도 주요정보통신기반시설에서 제외된 채 사각지대에 놓여 있었다는 것이다.

강 조사관은 정부가 이통사 핵심 서버 등이 주요정보통신기반시설 지정 대상에서 누락되지 않도록 주요정보통신기반시설의 지정 범위를 확대해야 한다고 주장했다.

현행 정보통신기반 보호법 시행령은 관리기관이 선정한 지정단위 및 세부시설에 대해 자체평가를 수행하고, 정부는 자체평가 결과를 심사하되, 필요 시 관계전문가로 구성된 협의회에서 심의할 수 있도록 규정하고 있다.

이에 이동통신 등 고위험 산업군에 대해서는 협의회 심의를 의무화하는 방향으로 법령 개정이 필요하다고 평가했다.

☞공감언론 뉴시스 siming@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.