KISA·과기부 "통신사 암호화 현황 관리하지 않아…자료 요구할 법적 근거 없다"
[서울=뉴스핌] 김영은 인턴기자 = SK텔레콤이 네트워크와 서버 내 유심(USIM) 정보의 암호화를 완료하지 않은 사실이 드러나면서, 해당 사실이 이번 해킹 사태의 '귀책사유'로 지목될 가능성이 제기되고 있다.
앞서 이준석 의원(개혁신당)은 지난달 30일 국회 청문회에서 "SKT가 사업을 영위한 지 30년이 지났는데, 그때부터 유심 정보가 평문(암호화하지 않은 상태)으로 관리됐다는 건 충격적"이라며 "이 정도 수준의 식별 정보를 암호화하지 않았다는 건, 보안 엔지니어링의 기본도 지키지 않은 것"이라고 지적했다. 이에 류정환 SKT 부사장 겸 네트워크 인프라 센터장은 "네트워크 쪽은 암호화돼 있지 않은 부분이 많다"며 "데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다"고 시인했다.
8일 통신업계에 따르면, SKT의 네트워크 암호화 및 서버 저장 데이터 암호화 작업은 여전히 완료되지 않은 상황이다. 류 부사장은 지난 2일 유심 정보 유출 관련 일일 브리핑에서 "암호화 가능한 부분이 있는지는 자문단을 만들어 대책을 세우고 있다"고 밝혔으나, 다음날 공식 브리핑을 마친 뒤 "전체 암호화는 진행 중이지만, 일부 예외 구간(호 처리 즉, 통화 연결 등 일부 민감한 구간)은 다른 방식으로 보안을 강화할 방안을 찾아나가고 있다"며 암호화 작업이 완료되지 않았음을 인정했다.
서버 저장 데이터 및 네트워크 암호화란, 통신망을 통해 주고받는 데이터(음성, 문자, 인증정보 등)를 읽을 수 없는 암호문으로 바꿔 전송함으로써, 외부에서 도청하거나 탈취하더라도 내용을 알아볼 수 없게 만드는 보안 기술이다. 암호화를 적용하면, 해커가 데이터를 가로채더라도 쓸모없는 문자 덩어리(암호문)만 얻게 돼 개인정보 ▲유출 ▲도청 ▲변조 ▲신원 도용 등 각종 사이버 범죄를 예방할 수 있다. 결과적으로 SKT 이용자들의 '가입자 인증 번호(IMSI)' '인증키(Ki)' '유심 일련번호' 등 핵심 정보는 암호화를 거치지 않아 외부에 노출된 상황이다.
SKT는 암호화에 대한 '법적 의무'가 없다는 입장이다. 개인정보보호위원회 고시 '개인정보의 안전성 확보조치 기준' 제7조 2항에 따르면 개인정보처리자가 암호화해 보관해야 할 정보에는 주민등록번호, 여권번호 등만 명시돼 있다. 류 부사장은 지난달 30일 국회에서 "법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다"고 밝혔지만, 유심 칩의 가입자 식별번호, 인증키 등이 암호화 의무 대상이 아니라는 취지의 입장을 고수 중이다.
◆ 전문가 "유심정보도 안전성 조치 취해야 할 '광의의 개인정보'" 지적
정보보호학계와 법조계 일각에서는 유심에 내재된 정보를 '광의의 개인정보'로 해석해야 한다며 SKT 측의 귀책사유 가능성을 제기하는 목소리도 나왔다. 유출된 정보가 가입자 식별에 사용될 수 있는 만큼, 정보 보호를 위한 안전성 조치가 필수적이었다는 주장이다.
엄흥열 순천향대 정보보호학과 교수는 "유심 정보는 법에서 정한 암호화 의무 대상에 포함되지는 않는다"면서도 "그렇지만, 광의로 봤을 때 개인정보라고 볼 수 있는 소지가 크다"고 말했다.
이어 "SKT가 개인정보 보호법 제29조의 안전성 조치 중에서 '침입 탐지 및 차단 조치' '접근 통제 조치' '악성 프로그램 침투 여부 점검 및 치료 프로그램 설치 운영 등의 갱신 등의 조치' 등의 위반 소지도 크다고 보여진다"며 "통신업계 관행보다 SKT의 (암호화) 보호조치가 미비한 것으로 판별이 날 경우에, SKT의 책임이 없다고 보기 힘들다"고 지적했다.
개인정보 보호법 제29조는 개인정보처리자에게 분실, 도난, 유출, 위조, 변조, 훼손 등을 방지하기 위해 대통령령으로 정하는 기술적, 관리적, 물리적 조치를 취할 것을 명시하고 있다. 시행령 제30조는 구체적으로 ▲침입 탐지 및 차단(제30조 3호) ▲접근 통제(제30조 2호) ▲악성 프로그램 점검 및 치료(제30조 4호) 등을 포함하고 있다.
최장혁 개인정보보호위원회 부위원장은 지난 4월 정부서울청사에서 열린 정례브리핑에서 SK텔레콤 해킹 사고와 관련해 SKT의 안전성 확보 조치 미흡 가능성을 공개적으로 지적한 바 있다.
명현준 변호사(법무법인 명량)도 "유출된 정보가 '온라인에서 가입자가 누구인지를 증명하는 신분증과 같은 고유번호나 인증 키'라는 점을 고려하면, 개인정보에 포함될 여지가 크다고 생각된다"며 "유심 불법복제와 같은 범행을 통해 인증시스템의 취약점을 악용해 실질적인 피해로 연결될 수 있다는 점을 생각하면, 통신상 인증을 가능하게 하는 신분증도 개인정보에 포함될 여지가 있다"고 말했다.
다만 "현행법상 유심 정보 암호화를 의무화한 조항은 없어 입법적 공백이 존재한다"며 "이번 사태는 법원이 '안전성 조치 미흡'을 근거로 SKT의 책임을 인정할지 여부가 핵심 쟁점이 될 것"이라고 덧붙였다.
아울러 "SKT가 암호화를 하지 않은 이유가 무엇인지, 침입차단을 위한 정책이나 조치 등 다른 동시대 보편적인 보안수준의 보호가 이뤄지고 있었는지 등이 종합적으로 고려돼야 한다"며 "구체적인 통신사별 보안조치 자료들은 이번 사태를 계기로 공개돼야 할 것이고, 미진한 점들은 확인 즉시 보완해야 할 것으로 생각된다"고 강조했다.
◆ 정부기관 "통신사 암호화 현황 관리하지 않아…법적 근거 없다"
현재 SKT를 비롯한 국내 주요 통신사의 암호화 현황을 관리하는 정부기관은 없다. KISA 측은 "국내 통신 3사 네트워크 암호화 현황을 알 수 있는 자료를 보유하고 있지 않다"며 "과학기술정보통신부의 네트워크 정책과에 문의를 해 봐야 한다"고 답했다. 이에 과기부 측은 "정부가 통신사 측에 암호화 현황을 요구할 법적 근거는 없다"며 "SKT는 해당 회사에서 자발적으로 암호화 실태를 공개한 것이고, 그 밖에 사고가 발생하지 않은 LG유플러스나, KT의 현황을 요구할 법적 근거가 없어서 암호화 현황을 알고 있진 못하다"고 설명했다.
과기부가 주도하는 민관합동조사단은 SK텔레콤 해킹 사건에서 암호화 미비와 해킹의 연관성을 집중적으로 조사하고 있다. 조사단은 최근 추가로 발견된 8종의 악성코드가 어디서, 어떻게 들어왔는지 조사하고 있다. 현재 포렌식 분석을 통해 ▲악성코드 생성 시점 ▲HSS(홈가입자서버)와의 연결성 ▲유심 정보 유출 경로 등을 종합적으로 확인 중이다. 특히 암호화 미비로 인한 추가 피해가 입증될 경우, SKT의 기술적·관리적 책임이 강조될 전망이다. 민관합동조사단은 이르면 6월 중순쯤 중간 조사 결과를 발표할 계획이다.
SKT 유심 정보 유출 사태와 관련해 집단(공동)소송을 주도하고 있는 하희봉 변호사(로피드 법률사무소 대표)는 "암호화 미비와 해킹의 직접적 인과관계를 밝히기 전까지 판단이 조심스러운 면이 있다"면서도 "다만, 유심 정보가 암호화되지 않은 채 저장됐던 사실은 분명하고, 이런 상황에서 해킹이 발생해 대규모 정보 유출로 이어졌다면, SKT의 책임을 완전히 배제하기는 어렵다고 본다"고 말했다.
한편, 최태원 SK그룹 회장은 전날 SK텔레콤 본사에서 열린 브리핑에 직접 참석해 최근 발생한 해킹 사태에 대해 대국민 사과를 발표했다. 최 회장은 "사고 이후 소통과 대응이 미흡했던 점에 대해서도 뼈아프게 반성한다"며 재발 방지를 위한 전사적 보안 체계 점검과 외부 전문가가 참여하는 정보보호혁신위원회 구성 등 후속 대책을 약속했다. 또, 정부 조사에 성실히 협조해 사고 원인 규명과 피해 복구에 최선을 다하겠다고 강조했다.
yek105@newspim.com
