SKT 개인정보 유출, 왜 이번엔 진짜 심각한 이유

안녕하세요! 오늘은 조금 무거운 이야기를 해보려고 해요.
바로 최근 Skt에서 발생한 개인정보 유출 사태에 대한 이야기인데요.
아마 여러분도 뉴스를 통해 들어보셨을 거예요. '또 개인정보 털렸대? 에이, 내 정보는 진작에 다 털렸겠지 뭐.' 이렇게 생각할 수도 있어요. 하지만 이번 Skt 개인정보 유출은 우리가 흔히 듣던 그런 이야기와는 조금 다릅니다

유심교체

지금 이 문제 때문에요, 심지어 삼성에서는 직원들에게 유심 교체를 서두르라는 지시까지 내려왔대요.
발 빠른 몇몇 기업들은 아예 Skt를 통한 문자 인증을 차단하기도 했고요.
벌써 이 일 때문에 피해를 본 사람들도 있다는 이야기도 들려와요  이게 정말 심각한 문제라는 거죠!
예전에 단통법이나 망 사용료 같은 이야기랑은 차원이 다르게, 기술에 대해 좀 아는 사람들은 이번 사태를 정말 큰일이라고 생각하고 있답니다

SKT 개인정보 유출, 왜 이번엔 더 심각한 걸까요?
우리가 그동안 개인정보 유출 소식을 정말 많이 들었잖아요.
하도 많이 들어서 이제는 좀 둔감해진 것도 사실이고요. 예전에는 보통 이름, 전화번호, 주민번호 같은 정보나 특정 사이트의 아이디, 비밀번호가 유출되는 경우가 많았어요.
이런 정보가 털리면 내 정보가 몰래 팔려나가거나 보이스피싱 같은 전화를 받는 정도의 문제였죠.

털린 정보만으로는 내 통장에서 돈이 바로 빠져나가거나 나 몰래 결제가 이루어지는 일은 거의 없었어요 .
보이스피싱범들이 나를 속여서 비밀번호나 인증코드를 직접 받아내야만 돈을 빼낼 수 있었거든요.
하지만 이번에 Skt에서 유출된 개인정보는 단순한 이름, 전화번호가 아니에요.

imsi나 유심 인증키처럼 결제나 인증에 정말 중요한 정보들이 털렸을 가능성이 있다는 게 문제랍니다.
이 정보들이 해커 손에 들어가면 사용자를 속일 필요 없이 바로 통장에서 돈을 빼가거나, 마음대로 이상한 사이트에 가입하고 결제하는 등 심각한 일들을 벌일 수 있어요.
그렇기 때문에 이번 사태가 단순한 개인정보 유출이 아닌, 최종 결제와 관련된 중요한 정보가 유출된 것일 수 있어서 더 심각하다는 거예요. 삼성 직원들에게 유심을 바꾸라고 하고, KB증권에서 Skt 문자 인증을 막은 이유도 바로 여기에 있죠 .

IMSI와 유심 인증키, 이게 뭐길래 이렇게 중요한가요?
Aimsi와 유심 인증키라는 말이 좀 어렵게 느껴지나요?
간단히 말하면, 이 정보들은 여러분의 스마트폰과 여러분이 누구인지 확인시켜주는 아주 중요한 열쇠 같은 역할을 해요.
우리가 보통 인터넷 사이트에서 회원가입을 하거나, 아이디를 찾거나, 비밀번호를 바꿀 때 가장 많이 사용하는 인증 방식이 뭐죠?
바로 통신사와 전화번호를 입력해서 스마트폰으로 인증번호를 받고, 그 인증번호를 입력하는 방식이잖아요 .
우리가 온갖 사이트나 앱에서 본인 인증을 할 때 이 방식을 사용하고 있죠.

유심교체

 

이번에 Skt가 해킹당했다고 알려진 곳이 바로 HSS라는 인증과 관련된 서버인데요 .
이 서버는 인증에 필요한 아주 중요한 정보들을 다루고 있어서 통신사 중에서도 가장 보안이 까다롭기로 유명한 곳이에요 .
그런데 여기가 털렸다는 거죠. 어디까지 정보가 유출되었는지는 정확한 조사가 필요하지만, 만약 가입자를 식별하는 imsi 값과 유심 인증키까지 모두 털렸다면 이건 정말 상상도 할 수 없을 만큼 큰일이 될 수 있어요.
회사가 공중분해될 수도 있을 정도라고 하니, 피해 금액은 정말 어마어마할 수 있겠죠.
해커들이 이 정보들을 이용해서 사용자를 속이는 과정 없이도 직접적으로 금융 피해를 입힐 수 있다는 점이 이번 사태의 가장 큰 문제점이에요 .

SKT 사용자라면 지금 당장 뭘 해야 할까요?
그렇다면 Skt를 사용하고 있는 분들은 지금 어떻게 해야 할까요?
Skt에서 안내 문자를 받은 것처럼 유심 보호 서비스를 신청하는 방법이 있어요 .
하지만 이게 완벽한 해결책은 아닐 수 있어요.
왜냐하면 이번에 해킹당한 서버에는 사용자의 imei(단말기 식별 번호)도 포함된 것으로 보이기 때문이에요.
유출된 유심 정보와 함께 imei 값까지 해커들이 조작해서 이 유심 보호 서비스를 무력화시킬 수도 있다는 거죠 .

그래서 가장 현실적이고 확실한 방법은 물리적으로 유심 자체를 바꾸는 것이에요 .
아니면 아예 이번 기회에 다른 통신사로 옮기는 것도 하나의 방법이 될 수 있고요 .
이미 상황을 아는 분들은 개인 비용을 들여서라도 유심을 교체하고 있다고 해요.
점점 많은 분들이 유심을 바꾸려고 하고 있답니다.유심 교체, 왜 이렇게 어렵고 비용은 누가 내야 하나요?

그런데 유심 교체가 말처럼 쉽지만은 않아요.
지금 많은 t-world 매장에 유심 재고가 부족하다는 이야기가 대부분이에요.
Skt 메인 통신사 유심뿐만 아니라 r3폰 유심, 데이터 셰어링 유심까지 모두 교체 대상에 포함되어 있다고 해요.
실제로 저와 함께 일하는 분은 Skt 유심이 4개나 되는데, 모두 바꿔야 하는 상황이에요.
유심을 바꾸려고 매장에 전화해봐도 연결이 잘 안 되고, 어쩌다 연결돼도 재고가 없다는 답만 듣는다고 하네요 .
전국적으로 유심 부족 문제가 발생하고 있다고 합니다 .

이런 상황에서 더 화가 나는 건, 이렇게 심각한 사태인데 유심 교체 비용을 고객이 부담해야 한다는 점이었어요.
물론 비판 여론이 커지자 Skt에서 무료 교체를 약속하고 이미 바꾼 사람들에게도 비용을 돌려주겠다고 했지만.
이걸 기사로만 알리고 정작 사용자들에게는 제대로 된 안내 문자를 보내지 않았다는 건 정말 아쉬운 부분이에요.

유심 정보가 털린 것으로 의심되는 시점은 4월 19일인데, 무료 교체는 그로부터 10일 가까이 지난 4월 28일부터 시작된다는 점도 문제고요 . 그때 가도 유심이 없을 가능성도 높다고 하니 답답하죠 .

게다가 Skt는 사고는 치고 해결은 고객이 직접 해야 하는 상황인데, 피해 보상에 대한 이야기는 전혀 없다는 것도 이해하기 어렵네요 A.왜 이런 심각한 일이 SKT에서 발생했을까요? A우리나라에서 가장 큰 통신사인 Skt에서 왜 이런 심각한 일이 발생했을까 궁금할 수 있어요 .

개인적인 생각으로는 Skt가 최근 정보 보호에 대한 투자를 소홀히 했기 때문이라고 봐요.
다른 통신사인 kt나 lg유플러스와 비교했을 때 Skt는 정보 보호 투자를 꾸준히 줄여왔거든요.
아마 AI 같은 분야에 더 투자하려고 다른 곳에서 자금을 확보하는 과정에서 정보 보호를 놓친 게 아닌가 싶기도 하고요

반면에 kt나 lg유플러스는 왜 정보 보호 투자를 늘렸을까요?
특히 lg유플러스는 최근 많이 늘렸는데, 아마 얼마 전에 이 통신사들도 개인정보 유출 문제를 겪었기 때문이 아닐까 생각돼요 .
'다른 통신사도 털렸는데 왜 Skt만 이렇게 심하게 이야기해?'라고 생각할 수도 있어요 .
하지만 앞서 말했듯이 유출된 정보의 중요도가 다르기 때문이에요 .
예전에 kt나 LG에서 털렸던 정보는 이름, 생년월일처럼 이미 많이 퍼져있는 정보들이 대부분이었어요.
하지만 이번 Skt 사태는 imsi나 유심 인증키처럼 정말 중요한 정보들이 털린 것으로 보이기 때문에 더 심각하다는 거죠.
이건 마치 집 주소가 털린 것과 집 비밀번호가 털린 것만큼 큰 차이랍니다 .

이번 사태, 앞으로 어떻게 될까요?
지금까지 알려진 정보를 보면, Skt의 hss 서버가 해킹당해서 imsi, imei, 중요한 인증키 같은 민감한 정보들이 유출된 것으로 보여요 . 이름이나 전화번호 같은 예전부터 유출되었던 정보들은 이번에 털리지 않은 것 같아요.
하지만 이름이나 전화번호 같은 정보들은 이미 어둠의 경로에서 많이 퍼져 있거든요.
만약 Skt에서 imsi와 인증키가 진짜 털렸다면, 해커들은 이미 퍼져있는 개인정보와 이번에 유출된 정보를 합쳐서 개인이나 기업에 엄청난 피해를 입힐 수 있는 아주 위험한 상황이랍니다.

저는 솔직히 아직도 이 상황이 현실인지 잘 믿어지지 않아요.
그래서 제가 '털렸다'고 단정적으로 말하지 않고 '털렸을 가능성이 있다', '털렸다고 알려졌다'고 조심스럽게 이야기하는 거예요.
imsi까지 털린 사례는 해외에도 있었지만, 인증키까지 털린 사례는 저는 아직 들어보지 못했거든요 .

앞으로 어떻게 될지는 조사가 끝나봐야 알겠지만, 아마 정부에서 Skt에 과징금을 부과할 것 같아요.
물론 그 금액이 크지 않을 거라고 예상되고요. 그리고 이 과징금은 고객들에게 돌아가는 돈이 아니랍니다.

저는 이번 사태를 보면서 보안의 중요성을 다시 한번 느꼈어요.
삼성이 임직원들에게 유심을 바꾸라고 하고 KB증권이 Skt 인증을 막은 조치는 과한 것이 아니라 잘한 조치라고 생각해요.
여러분의 소중한 개인정보를 지키기 위해 우리 모두 이번 사태에 계속 관심을 가지고 지켜봐야 할 것 같아요