[SK텔레콤 해킹 사태 한 달] 자조적인 현실… “국내 개인정보는 공공재인가”
SK텔레콤 해킹 사태 한 달 ②
공공·민간 개인정보 유출 지속
공공·민간 개인정보 유출 지속
입력 : 2025. 05. 22(목) 08:21
SK텔레콤 유심 무상 교체 안내문. 연합뉴스
SK텔레콤(SKT) 해킹 사태를 계기로 IT 강국으로 불렸던 한국이 정작 보안 문제에는 소홀했다는 목소리가 커지고 있다. 금융과 행정 등 모든 활동이 온라인 기반으로 이뤄지며 개인정보가 각종 시스템에 확산하고 있지만, 크고 작은 유출 문제에 무감각해지며 근본적인 대책 마련에 실패했다는 지적이 나온다.
이번 SKT 해킹 사태의 경우 유출된 정보의 범위가 어디까지인지 정확하게 드러나지 않으면서 이용자들의 불안감이 가라앉지 않고 있다. SKT는 가입자들의 유심(USIM) 정보뿐 아니라 단말기 고유식별번호(IMEI)와 이름, 생년월일 등이 담긴 서버가 공격받았다.
하지만 해커가 최초 침입된 것으로 추정되는 3년 전부터 지난해 12월3일까지의 로그 기록은 남아있지 않아 IMEI 등의 유출 여부는 확실하게 알 수 없는 상황이다.
해킹 공격에 따른 대규모 개인정보 유출 사고는 어제 오늘의 일이 아니다. 2016년 인터파크에서 전화번호·주소 등 회원 1000만명 이상의 정보가 유출된 사례가 대표적이다. 당시 회원 2400여명이 손해배상 소송을 벌여 1인당 10만원을 보상하라는 최종 판결이 나오기도 했다.
SKT 해킹 사태가 터진 지난달에도 크고 작은 사고가 잇따랐다. 아르바이트 구인·구직 플랫폼인 알바몬에서는 이름·전화번호·이메일 등 2만2천473건의 임시 저장된 이력서 정보가 유출된 것으로 드러났다.
콜센터 용역 업체인 KS한국고용정보에서는 인사관리시스템 내 직원의 개인정보가 대거 유출됐고, 법인보험대리점(GA) 2곳에서는 일부 신용정보를 포함해 고객 및 임직원 1000여명의 개인정보가 털린 것으로 확인됐다.
해킹에 대한 불안감이 커지는 배경에는 유출된 개인정보가 일반 검색으로는 진입할 수 없는 다크웹 등 불법 사이트에 유포돼 되돌릴 수 없는 피해를 일으킬 수 있다는 우려가 있다.
다크웹은 3중 암호화를 통해 접속자의 IP 주소를 알 수 없는 점이 특징으로, 무작위 코드로 링크를 변환해 추적을 따돌릴 수 있다. 지난달 유출된 KS한국고용정보 전현직 임직원의 이름과 전화번호, 주소, 주민등록번호 등은 다크웹에서 22기가바이트 분량 데이터가 2000만원에 판매되는 것으로 알려졌다.
공공기관도 예외는 아니다. 국가정보원은 지난해 해커 조직이 국가·공공기관 정부 서비스 이용자의 개인정보를 다크웹이나 텔레그램 등을 통해 불법 유통하는 정황을 포착했다며 주의를 당부한 바 있다.
보안 기업 NSHC의 ‘한국 공공기관 계정정보 다크웹 유출 분석 보고서’에 따르면 2021년 5월 기준 국내 350개 공공기관 중 90%인 316개 기관의 계정 정보가 다크웹에 유출된 것으로 나타났다.
이런 현실은 한국인의 개인정보가 다크웹 등에서 ‘공공재’로 통한다는 자조 섞인 소리로 이어지기도 한다. 상황이 이런데도 개인정보 보호에 대한 경각심은 매우 낮은 것이 현실이다.
한국정보보호산업협회(KISIA)의 ‘2024 정보보호 실태조사’에 따르면 지난해 정보 침해 사고를 경험한 기업체 중 관련 기관 또는 수사 기관에 이를 신고한 비율은 19.6%에 그쳤다.
‘피해 규모가 경미하다’(73.7%)는 이유뿐 아니라 ‘신고에 따른 업무가 복잡’(54.3%)하고, ‘피해 사실이 알려지는 것이 두려워서’(17.6%) 신고하지 않는 경우도 많아 상당수 정보 침해 사고가 은폐되고 있는 것으로 분석된다.
최근 1년간 정보보호 교육을 수강한 경험이 있는 인터넷 이용자는 12.0%에 그쳤고, 임직원을 대상으로 정보보호 교육을 실시했다고 응답한 기업도 36.7%에 불과했다.
보안 전문가들은 개인정보 보호에 대한 사회 전반의 경각심을 높이면서 개인정보 유출에 대한 규제를 강화하는 등 관련 제도 전반을 손질해야 한다고 조언한다.
이일구 성신여대 융합보안학과 교수는 “IT 의존도가 높은 한국은 클라우드나 웹 기반 서비스에 개인정보와 디지털 자산이 집중돼 있어 해커들의 주요 공격 대상이 되기 쉽다”며 “침해 사고 발생 시 신속하게 대응할 수 있는 체계적인 대응책과 유출을 방지하기 위한 규제 강화가 병행돼야 한다”고 조언했다.
염흥열 순천향대 정보보호학과 교수도 “해킹이 됐다고 가정하고 모든 시스템을 검증하는 ‘제로 트러스트’ 개념을 보안 원칙으로 적용해야 한다”며 “기업이 자율 보안 체계를 제대로 운영하게끔 정부가 최소한의 개입을 하는 것도 필요하다”고 말했다.
서비스 이용자들 역시 비밀번호 이외에 지문, 안면 인식, OTP 등 다양한 인증 수단을 사용하는 ‘멀티팩터 인증’(MFA) 등을 통해 보안에 대한 경각심을 높여야 한다는 목소리도 나온다.
김지연 대구대 컴퓨터정보공학부 교수는 “개인정보가 유출됐다 하더라도 나의 정보를 가지고 어디선가 회원 가입을 할 때, 한 번에 가입되지 않고 추가 인증을 거쳐야만 로그인 되는 원리”라며 “멀티 팩터 인증이 의무가 아닌 사이트에서도 관련 인증으로 설정하는 게 중요하다”고 강조했다.
노병하 기자·연합뉴스
이번 SKT 해킹 사태의 경우 유출된 정보의 범위가 어디까지인지 정확하게 드러나지 않으면서 이용자들의 불안감이 가라앉지 않고 있다. SKT는 가입자들의 유심(USIM) 정보뿐 아니라 단말기 고유식별번호(IMEI)와 이름, 생년월일 등이 담긴 서버가 공격받았다.
하지만 해커가 최초 침입된 것으로 추정되는 3년 전부터 지난해 12월3일까지의 로그 기록은 남아있지 않아 IMEI 등의 유출 여부는 확실하게 알 수 없는 상황이다.
해킹 공격에 따른 대규모 개인정보 유출 사고는 어제 오늘의 일이 아니다. 2016년 인터파크에서 전화번호·주소 등 회원 1000만명 이상의 정보가 유출된 사례가 대표적이다. 당시 회원 2400여명이 손해배상 소송을 벌여 1인당 10만원을 보상하라는 최종 판결이 나오기도 했다.
SKT 해킹 사태가 터진 지난달에도 크고 작은 사고가 잇따랐다. 아르바이트 구인·구직 플랫폼인 알바몬에서는 이름·전화번호·이메일 등 2만2천473건의 임시 저장된 이력서 정보가 유출된 것으로 드러났다.
콜센터 용역 업체인 KS한국고용정보에서는 인사관리시스템 내 직원의 개인정보가 대거 유출됐고, 법인보험대리점(GA) 2곳에서는 일부 신용정보를 포함해 고객 및 임직원 1000여명의 개인정보가 털린 것으로 확인됐다.
해킹에 대한 불안감이 커지는 배경에는 유출된 개인정보가 일반 검색으로는 진입할 수 없는 다크웹 등 불법 사이트에 유포돼 되돌릴 수 없는 피해를 일으킬 수 있다는 우려가 있다.
다크웹은 3중 암호화를 통해 접속자의 IP 주소를 알 수 없는 점이 특징으로, 무작위 코드로 링크를 변환해 추적을 따돌릴 수 있다. 지난달 유출된 KS한국고용정보 전현직 임직원의 이름과 전화번호, 주소, 주민등록번호 등은 다크웹에서 22기가바이트 분량 데이터가 2000만원에 판매되는 것으로 알려졌다.
공공기관도 예외는 아니다. 국가정보원은 지난해 해커 조직이 국가·공공기관 정부 서비스 이용자의 개인정보를 다크웹이나 텔레그램 등을 통해 불법 유통하는 정황을 포착했다며 주의를 당부한 바 있다.
보안 기업 NSHC의 ‘한국 공공기관 계정정보 다크웹 유출 분석 보고서’에 따르면 2021년 5월 기준 국내 350개 공공기관 중 90%인 316개 기관의 계정 정보가 다크웹에 유출된 것으로 나타났다.
이런 현실은 한국인의 개인정보가 다크웹 등에서 ‘공공재’로 통한다는 자조 섞인 소리로 이어지기도 한다. 상황이 이런데도 개인정보 보호에 대한 경각심은 매우 낮은 것이 현실이다.
한국정보보호산업협회(KISIA)의 ‘2024 정보보호 실태조사’에 따르면 지난해 정보 침해 사고를 경험한 기업체 중 관련 기관 또는 수사 기관에 이를 신고한 비율은 19.6%에 그쳤다.
‘피해 규모가 경미하다’(73.7%)는 이유뿐 아니라 ‘신고에 따른 업무가 복잡’(54.3%)하고, ‘피해 사실이 알려지는 것이 두려워서’(17.6%) 신고하지 않는 경우도 많아 상당수 정보 침해 사고가 은폐되고 있는 것으로 분석된다.
최근 1년간 정보보호 교육을 수강한 경험이 있는 인터넷 이용자는 12.0%에 그쳤고, 임직원을 대상으로 정보보호 교육을 실시했다고 응답한 기업도 36.7%에 불과했다.
보안 전문가들은 개인정보 보호에 대한 사회 전반의 경각심을 높이면서 개인정보 유출에 대한 규제를 강화하는 등 관련 제도 전반을 손질해야 한다고 조언한다.
이일구 성신여대 융합보안학과 교수는 “IT 의존도가 높은 한국은 클라우드나 웹 기반 서비스에 개인정보와 디지털 자산이 집중돼 있어 해커들의 주요 공격 대상이 되기 쉽다”며 “침해 사고 발생 시 신속하게 대응할 수 있는 체계적인 대응책과 유출을 방지하기 위한 규제 강화가 병행돼야 한다”고 조언했다.
염흥열 순천향대 정보보호학과 교수도 “해킹이 됐다고 가정하고 모든 시스템을 검증하는 ‘제로 트러스트’ 개념을 보안 원칙으로 적용해야 한다”며 “기업이 자율 보안 체계를 제대로 운영하게끔 정부가 최소한의 개입을 하는 것도 필요하다”고 말했다.
서비스 이용자들 역시 비밀번호 이외에 지문, 안면 인식, OTP 등 다양한 인증 수단을 사용하는 ‘멀티팩터 인증’(MFA) 등을 통해 보안에 대한 경각심을 높여야 한다는 목소리도 나온다.
김지연 대구대 컴퓨터정보공학부 교수는 “개인정보가 유출됐다 하더라도 나의 정보를 가지고 어디선가 회원 가입을 할 때, 한 번에 가입되지 않고 추가 인증을 거쳐야만 로그인 되는 원리”라며 “멀티 팩터 인증이 의무가 아닌 사이트에서도 관련 인증으로 설정하는 게 중요하다”고 강조했다.
노병하 기자·연합뉴스
