SK텔레콤, 유심 해킹 ‘대란’…무상 교체 혼란 확산 중

전국 매장·온라인 예약 시스템 '마비'…이용자 불만 폭주

통신기반시설 지정 등 제도 개선 요구 높아져

[SRT(에스알 타임스) 문재호 기자] 전날 유심(USIM) 무상 교체를 시작한 SK텔레콤이 한정된 재고와 예약 시스템 장애로 온·오프라인 모두 큰 혼란을 겪었다. 여기에 SK텔레콤 유심 정보 유출 사태와 관련해 이용자들은 집단 소송과 국회 국민동의 청원에 나서며 진상 규명과 책임 있는 대응을 요구하고 있다. 또한 SK텔레콤의 핵심 서버들이 해킹 피해를 입었음에도 주요 정보통신기반시설로 지정되지 않은 사실이 드러나면서, 정부와 통신사가 보호 대상 확대와 관리 체계 재점검에 나서야 한다는 목소리도 커지고 있다. 

◆ SKT 유심 무상 교체…매장 대기·예약 대란 속 불만 폭발

29일 정보통신(IT)업계에 따르면 전날 SK텔레콤이 USIM 무상 교체를 시작했지만 온·오프라인 모두 큰 혼란에 휩싸였다. 전국 주요 매장 앞에는 이른 아침부터 고객들이 길게 줄을 섰고, 온라인 유심 예약 시스템은 오전 내내 접속 장애를 겪었다. 고령 가입자들은 복잡한 예약 절차를 몰라 매장 앞에서 발만 동동 구르는 모습도 눈에 띄었다. SK텔레콤은 지난 28일 8시 30분부터 고객 불편 해소를 위해 ‘유심 무료 교체 예약 시스템’을 운영하고 있다.

SK텔레콤은 이날 오전 10시부터 전국 2,600여개 T월드 매장(직영점 및 대리점)에서 유심 무상 교체를 시작했다. 교체 대상은 홈가입자서버(HSS)에서 악성코드가 발견되기 전인 18일 자정 이전 가입자들이다. SK텔레콤이 준비한 유심은 약 100만개로, 전체 가입자 수(2300만명)의 약 4%에 불과해 교체를 원하는 이용자들의 경쟁이 치열했다. SK텔레콤 이용자들은 유심 무상 교체를 기대하며 오전 일찍부터 매장을 찾았지만, 재고 부족으로 유심 교체를 하지 못한 이들이 대다수였다.

장시간 대기 문제를 해결하기 위해 SK텔레콤은 유심 교체 예약 시스템을 도입했지만, 여전히 유심 무상 교체를 선점하기 위한 경쟁은 치열했다. 교체 시작 직전 5만3,000명이었던 대기자는 28일 정오 13만4,000명까지 급증했다. 예약에 성공하더라도 실제 교체 일정은 불확실했다. 가까스로 예약에 성공해 ‘예약 완료’ 메시지를 수령해도 언제 교체가 가능한지는 적혀 있지 않고, 매장이 유심 재고를 확보해야만 교체가 가능하기 때문에 고객들의 불만이 상당했다.

SK텔레콤은 5월 말까지 500만개 유심을 추가 확보하는 게 목표다. 그러면서 유심보호서비스에 가입하면 2차 피해를 예방할 수 있다고 강조하고 있다. 이 서비스는 SK텔레콤이 2023년 서울경찰청 사이버수사대와 공동 개발한 것으로, 고객의 유심 정보가 탈취·복제되더라도 다른 기기에서 본인 명의로 통신 서비스에 접속하는 것을 차단해 준다. 27일 오후 6시 기준 554만명이 이 서비스에 가입한 것으로 집계됐다.

◆ 이용자 집단소송이어 국민 청원 등 확산 중

이용자들은 SK텔레콤의 가입자 유심(USIM) 정보가 탈취된 사건과 관련해 집단 소송 준비와 국회 국민동의 청원에 나섰다.

정보기술(IT) 업계에 따르면 해킹 사건 이후 네이버에 지난 27일 'SK텔레콤 개인정보 유출 집단소송 카페'가 개설돼 29일 오전 7시 기준 4만2,000여명이 가입했다.

'SKT 유심 해킹 공동대응 공식 홈페이지'도 개설됐다. 홈페이지 운영진은 "유출된 정보가 휴대전화 번호 인증을 통해 제공되는 다양한 금융, 사회관계망서비스(SNS) 등에서 중대한 2차 피해로 이어질 가능성이 높음에도 불구하고 SK텔레콤의 대응이 미흡하다"며 "명확한 피해 범위나 규모도 제대로 밝혀지지 않고 있어 이용자들의 불안감과 혼란이 증폭되고 있다"고 밝혔다.

이들은 국회 국민동의 청원을 통해 철저한 진상규명과 피해 규모 파악, SK텔레콤의 책임 있는 대응을 촉구하고 있다. 또 정부의 실효성 있는 피해 구제·재발 방지책 마련을 요구했다. 국회 청원은 5만명 이상 동의를 목표로 진행 중이다.

◆ 주요 정보통신기반시설 지정 목소리 높아져

이동통신사 가입자들의 개인정보가 담긴 서버 등이 주요정보통신기반시설로 지정돼야 한다는 목소리도 커지고 있다. SK텔레콤의 유심(USIM) 정보 서버를 포함한 핵심 기반시설이 해킹 피해를 입었지만, 이들 서버가 현행 정보통신기반보호법상 주요 정보통신기반시설로 지정돼 있지는 않다. 주요정보통신기반시설은 이전까지 네트워크 장비 위주로 지정돼 왔지만, 이번 사건을 계기로 지정 대상을 확대해야 한다는 목소리가 높아지고 있다.

정부는 정보통신기반보호법에 따라 통신, 금융, 에너지 등 국가 중요 시설을 주요 정보통신기반시설로 선정해 관리하고 있으며, 보호대책 이행 여부를 점검하고 있다. 그러나 현 제도에서는 민간 기관이 지정 대상을 1차로 정하고 정부가 타당성을 검토하거나 필요한 경우 조정하는 구조여서, 실질적으로는 '민간 자율'에 맡겨져 있다. 이런 구조 탓에 가입자 핵심 정보가 저장된 서버들은 정부의 직접 점검이나 기술 진단 대상에서 제외돼 있었다. 

과학기술정보통신부에 따르면 주요 정보통신기반시설 지정 여부는 관련 위원회에서 매년 논의된다. 통상 매년 하반기에 논의가 시작돼 다음 해 상반기에 지정이 완료된다. 올해 하반기에도 지정 논의가 예정된 가운데, 이번에 해킹 피해를 입은 SK텔레콤 서버들도 우선 검토 대상이 될 것으로 보인다. KT와 LG유플러스 역시 관련 서버가 주요 정보통신기반시설로 지정돼 있지 않다.

하반기 회의에서는 통신사가 운영하는 통신망과 서버 등 통신 서비스 구성요소 가운데 어느 범위까지 주요 정보통신기반시설로 지정할지에 대한 구체적인 논의가 있을 것으로 전망된다. 지금까지는 주로 이동전화 시스템 중심으로 지정이 이뤄져 왔다. 지정된 기반시설 목록은 보안상의 이유로 외부에 공개되지 않는다.

최민희 과학기술정보방송통신위원회 위원장은 “이번 사고로 인해 가입자 식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 이동통신 서비스 핵심 정보가 유출됐다“며 ”HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도, 현행 제도의 허점으로 인해 주요 정보통신기반시설 지정조차 받지 못하고 있는 만큼 정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고, 실질적인 보호대책을 마련해야 한다“고 강조했다.

다만 통신사 시설의 주요 정보통신기반시설 지정이 다소 과도하다는 지적도 나온다. 

권헌영 고려대 정보보호대학원 교수는 “통신사 서버 등 핵심시설이 주요 정보통신기반시설로 지정되면 전시에 준하는 수준으로 보안 점검과 강화가 이뤄질 것”이라며 “아직 구체적인 피해 사례가 증명되지 않았음에도 지나치게 불안감을 조성할 필요는 없을 것”이라고 말했다.