[알파경제=영상제작국] SK텔레콤(SKT) 해킹 사태가 당초 발표보다 훨씬 심각한 수준인 것으로 드러나 파장이 예상됩니다. 민관합동조사단은 19일 2차 조사 결과를 발표하며 감염 서버가 5대에서 23대로 급증했고, 2695만여 건의 대규모 개인정보가 유출됐다고 밝혔습니다.
여기에 더해 단말기 고유식별번호(IMEI) 29만여 건의 추가 유출 가능성까지 확인되면서 사태의 심각성을 더하고 있습니다. 조사단은 총 23대의 서버가 악성코드에 감염된 사실을 확인했으며, 이는 1차 발표 당시 5대에 비해 4배 이상 증가한 수치입니다. 실제로 유출된 정보 규모도 충격적인 수준입니다. 가입자 식별번호(IMSI) 기준으로 무려 2695만7749건의 정보가 유출된 것으로 확인됐습니다. 이는 SKT 전체 가입자 수를 훨씬 넘어서는 규모로, 스마트워치와 IoT 기기 등에 탑재된 유심까지 포함된 수치입니다. 특히 기존에 "유출되지 않았다"고 발표했던 IMEI 정보의 유출 가능성도 새롭게 드러났습니다. 감염된 서버 중 2대에서 29만1831건의 IMEI와 함께 이름, 생년월일, 전화번호, 이메일 등 민감한 개인정보가 발견됐습니다. SKT의 보안 투자 실태를 살펴보면 이번 사태가 예견된 것이 아니냐는 지적이 나오고 있습니다. 2024년 SKT의 정보보호 투자액은 600억 원으로, 같은 해 AI 사업에 투입한 6000억 원의 10분의 1 수준에 불과했습니다. 경쟁사인 KT(1218억 원)의 절반에도 못 미치는 수준입니다. 가입자 1명당 정보보호 투자액 역시 SKT 2400원, KT 6700원, LG유플러스 4000원으로 현저한 차이를 보였습니다. SKT는 2022년 대비 2023년 정보보호 투자를 4.4% 줄인 반면, KT와 LG유플러스는 각각 19.2%, 116.4% 늘렸습니다. SKT 보안 체계의 구조적 문제도 이번 사태를 통해 드러났습니다. 최고정보보호책임자(CISO)가 존재했지만 실질적인 네트워크 보안 권한은 네트워크운용본부 산하 인프라보안팀이 담당했으며, CISO는 정책적 역할에만 국한됐습니다. 더불어 SKT는 올해 들어 대표 주관 정보보호 회의를 단 한 차례도 개최하지 않은 것으로 밝혀졌습니다. 글로벌 보안업체 트렌드마이크로가 2024년 7월과 12월 두 차례에 걸쳐 한국 통신사 대상 BPF도어 공격 가능성을 경고했지만, SKT는 이를 인지하지 못했습니다. 조사단은 이번에 총 25종의 악성코드를 발견했다고 밝혔습니다. 최초 악성코드가 설치된 시점은 2022년 6월 15일로 추정됩니다. 3년이라는 장기간에 걸친 해킹 공격과 피해 규모가 방대하다는 점에서 개별 기업 수준을 넘어 국가 안보 차원에서 대책을 마련해야 할 문제라는 지적도 나옵니다. 최태원 SK그룹 회장은 사태 이후 "지금까지 보안을 정보통신 부문만의 영역이라 생각하고 전담팀에만 의지했다"고 인정했습니다. SKT는 여전히 보안 투자 확대 계획에 대해 "민관합동조사단 조사 결과가 나온 후 수립하겠다"며 소극적인 태도를 보이고 있습니다. 이번 사태는 국내 1위 통신사업자로서 SKT가 보안을 '비용'으로만 인식했던 경영 철학의 한계를 여실히 드러낸 사례로 평가됩니다.
알파경제 영상제작국 (press@alphabiz.co.kr)
