2300만 국민 정보 뚫렸는데… “SKT 해킹 서버, ‘국가기반시설’ 아니라고?”

SKT의 HSS·유심 관련 핵심 서버
‘주요정보통신기반시설 지정 안 돼
“관리 사각지대서 벌어진 초유의 해킹 사고”
최민희 의원 “국가관리 체계 전면 점검 필요”"

송현수 기자 songh@busan.com ｜ 2025-04-28 10:29:49

가

SK텔레콤이 유심 고객정보 해킹 사고로 관련 유심 무료 교체 서비스에 나선 28일 서울 시내 한 SKT T월드 매장 앞에 유심을 교체하려는 고객들이 영업 전부터 줄을 서 있다. SK텔레콤은 이날 오전 10시부터 전국 T월드 매장 2600여 곳에서 유심 무료 교체 서비스를 진행한다. 연합뉴스

국내 최대 이동통신사인 SK텔레콤의 유심(USIM) 정보 서버 등 핵심 인프라가 해킹 당한 가운데, 해당 서버들이 현행 정보통신기반보호법상 ‘주요정보통신기반시설’로조차 지정되지 않은 채 관리 사각지대에 방치돼 온 사실이 드러났다.

국회 과학기술정보방송통신위원회(이하 과방위) 최민희 위원장(더불어민주당·경기 남양주갑)실이 28일 과학기술정보통신부로부터 제출받은 자료에 따르면, 이번에 해킹 피해를 본 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심(USIM) 관련 핵심 서버 등은 ‘국가·사회적으로 보호가 필요한 주요정보통신기반시설’로 지정된 바 없었다.

정부는 정보통신기반보호법에 따라 통신·금융·에너지 등 국가 핵심시설을 ‘주요정보통신기반시설’로 지정하고 관리기관의 보호 대책 이행을 점검하고 있다. 하지만 현행 제도상 ‘주요정보통신기반시설’의 세부 지정 범위는 1차적으로 민간기관이 정하고, 정부는 타당성 검토 및 필요시 조정만 가능한 탓에 사실상 ‘민간 자율’에 방치된 구조다.

이로 인해 가입자 핵심 정보가 저장된 서버가 정부의 직접 점검이나 기술 진단 대상에서 빠져 있었던 것으로 드러났다. 실제 SK텔레콤은 최근 3년간 해킹 메일, 디도스 등 위기 대응 훈련에만 참여했을 뿐, 이번 해킹 대상이 된 서버에 대해선 정부 주도의 기술 점검, 침투 테스트를 받은 이력이 없다.

이번 사고로 가입자 식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 이동통신 서비스 본질에 해당하는 정보가 유출된 것으로 확인됐다. 전문가들은 “유심 정보 유출은 단순 개인정보를 넘어 심스와핑, 명의도용, 금융자산 탈취 등 2차, 3차 피해로 확산될 수 있다”며 우려를 제기했다.

정부는 현재 사고 경위를 조사 중이며, SK텔레콤도 유심 무상교체, 이상탐지시스템(FDS) 강화 등 추가 조치를 시행 중이라고 밝혔으나, 이번 사태를 계기로 ‘국가 관리 사각지대’가 드러난 만큼 제도 전반에 대한 근본 대책이 시급하다는 지적이 나온다.

최민희 과방위원장은 “HSS·USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도, 현행 제도의 허점으로 인해 ‘주요정보통신기반시설’ 지정조차 받지 못하고 있었다”며 “정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고, 실질적인 보호 대책을 마련해야 한다”고 강조했다.