SK텔레콤 유심 사태에 개인정보 유출 문제가 대두되는 가운데 전문가들 사이에서는 보안 규제를 정비하고 정보보호 분야 투자를 늘려야 한다는 지적이 나왔다.
류정환 SK텔레콤 부사장은 지난달 30일 국회 과학기술정보방송통신위원회에서 악성코드 침투 당시 유심 데이터가 암호화되어 있지 않았다고 시인했다.
류 부사장은 “법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다”며 유심 정보 암호화 관련 내용이 법령에 명시되어 있지 않았다는 내용도 언급했다. 현행법상 유심 칩에 담긴 가입자 식별번호(IMSI), 가입자 인증키 등은 의무 암호화 대상이 아니다.
개인정보보호위원회 고시 ‘개인정보의 안전성 확보조치 기준’에 따르면 개인정보처리자가 암호화해 보관해야 할 정보로는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보가 명시돼있다. 정보기술 발달로 이동통신사, 플랫폼 기업들이 서비스 제공 과정에서 수집하는 정보의 폭이 넓어지는 만큼 그 대상을 확대해야 한다는 지적이 이어지고 있다.
다만 통신사 서버에 저장된 유심 정보의 경우 다른 개인정보와 달리 수시로 참조가 이뤄지는 정보라 현실적으로 암호화 적용이 어렵다는 반론도 나온다.
류 부사장은 지난 2일 해킹 사태 대응 관련 브리핑에서 “유심 정보가 담긴 홈가입자서버(HSS)는 암호화를 하지 않는 것이 기본”이라며 “매번 통화할 때마다 암호화된 정보의 암호를 풀었다가 다시 암호화하려면 레이턴시(지연시간)가 발생하기 때문”이라고 설명했다.
더불어민주당 최민희 의원이 과기정통부로부터 제출받은 자료에 따르면 해킹 공격을 받은 SK텔레콤의 HSS, 가입자 인증키 저장 시스템 등은 국가·사회적으로 보호가 필요한 주요 정보통신 기반 시설로 지정되지 않았다.
이와 관련된 질의에 과기정통부 관계자는 “이번 SK텔레콤 사건에 대한 정확한 조사와 대책 마련 과정에서 서버 등 시설 역시 정보통신기반보호법상 주요 기반 시설로 지정하는 방안을 검토할 수 있을 것”이라고 말했다.
통신사들이 이번 사태를 계기로 정보보호에 투자하는 금액을 늘려야 한다는 지적도 나오고 있다. SK텔레콤이 지난해 정보보호 분야에 투자한 금액은 본사 600억원, 자회사 SK브로드밴드 267억원 등 총 867억원으로 나타나 경쟁사인 KT(1218억원)에 비해 적었다.
박재림 기자 jamie@segye.com
