SKT 해킹으로 본 우리나라 보안 및 인증 실태와 해외 인증 방식 비교

2025년 4월 29일

SKT 핵심 서버 침해, 무엇이 문제였나?

지난 4월 18일, SKT는 내부 시스템에서 비정상 트래픽을 감지했으며, 분석 결과 HSS 서버가 'BPFDoor'로 추정되는 악성코드에 감염된 사실을 확인했습니다. HSS는 가입자의 고유 식별 정보, 인증 키, 서비스 정보 등을 저장·관리하며 인증, 서비스 접근 제어 등 이동통신 서비스 제공에 필수적인 역할을 하는 핵심 서버입니다.

이번 해킹으로 최대 2,500만 명에 달하는 SKT 및 알뜰폰 가입자의 정보가 위험에 노출되었으며, 가입자 식별 번호(IMSI), 단말기 고유 식별 번호(IMEI), 그리고 가장 치명적인 유심 인증키(Ki) 값 등의 민감 정보 유출 가능성이 제기되었습니다. Ki 값 유출은 공격자가 피해자의 유심을 복제(Cloning)하거나 전화번호를 탈취(SIM Swapping)하여 금융 자산을 빼돌리고 온라인 계정을 장악하는 등 심각한 2차 피해로 이어질 수 있는 '만능 열쇠'를 쥐여주는 것과 같습니다.

늑장 대응과 고객 불편 가중

SKT는 사고 인지 후 41시간이 지나서야 관계 당국에 신고했으며, 고객 대상 공지는 더욱 늦어져 초기 대응에 대한 비판을 받았습니다. 이후 전 가입자 대상 무료 유심 교체를 발표했지만, 2,500만 명이라는 막대한 규모에 비해 턱없이 부족한 초기 물량으로 인해 대리점마다 긴 대기 줄이 늘어서는 등 극심한 혼란이 발생했습니다.

모든 가입자가 유심을 교체하기까지 수개월이 소요될 것으로 예상되면서, 고객들은 불안감 속에서 시간적, 물리적 불편을 겪어야 했습니다. 특히, 유심 교체를 위해서는 대리점 방문이 필수적인데, 이로 인해 일반 직장인들은 근무 시간 중 개인 연차를 사용하는 등 추가적인 시간과 비용 부담까지 고스란히 떠안게 되었다는 지적이 나옵니다. 기업의 보안 실패로 인한 피해 복구 비용이 결국 소비자에게 전가된 셈입니다. 함께 권고된 '유심보호서비스' 역시 모든 유형의 공격을 막기에는 한계가 있으며, 고객이 직접 신청해야 하는 번거로움이 있었습니다.

한국 인증 시스템의 구조적 문제점

이번 사태는 한국 개인 인증 시스템이 가진 여러 문제점을 드러냈습니다.

• 휴대폰 번호·SMS 의존성: 온라인 서비스 상당수가 여전히 본인 인증 수단으로 휴대폰 번호 확인과 SMS 인증번호 전송에 크게 의존하고 있습니다. PASS 앱과 같은 간편 인증 서비스조차 초기 가입 및 인증 과정에서 휴대폰 본인 확인이 필수적인 경우가 많아, 통신사 해킹 사고 발생 시 인증 체계 전체가 흔들리는 구조적 취약점을 안고 있습니다.
• 관리 감독 사각지대: 해킹된 SKT의 HSS 서버는 현행법상 '주요정보통신기반시설'로 지정되지 않아 정부의 직접적인 보안 점검 및 관리 감독 대상에서 제외되어 있었습니다. 이는 국가 안보 및 국민 생활과 직결된 핵심 통신 인프라가 관리의 사각지대에 놓여 있었음을 의미합니다.
• 보안 투자 문제: SKT의 정보보호 투자 규모에 대한 지적도 제기되었습니다. 2024년 SKT(600억 원)와 자회사 SK브로드밴드(267억 원)의 정보보호 투자 합산액은 경쟁사인 KT(1218억 원)의 약 71% 수준으로, 상대적으로 네트워크 보안 투자에 소홀했던 것이 아니냐는 비판이 나왔습니다. 일부 보도에서는 SKT가 최근 몇 년간 경쟁사에 비해 정보 보호 관련 투자비를 줄여왔다고 지적하기도 했습니다.

해외 개인 인증 방식과의 비교

각국의 개인 인증 시스템은 상이한 특징과 장단점을 가집니다.

• 유럽 연합(EU): 금융 분야를 중심으로 강력한 고객 인증(SCA)을 의무화하여, 비밀번호(지식), 스마트폰/토큰(소유), 지문/얼굴(생체) 중 2가지 이상을 조합하도록 요구하며 SMS 의존도를 낮추고 있습니다.
• 미국: NIST 지침을 통해 다중 요소 인증(MFA)을 권장하며, 인증 앱, 하드웨어 키 등 다양한 기술이 활용되지만, 여전히 서비스별 보안 수준 편차가 크고 SMS 인증도 널리 쓰입니다.
• 중국: 강력한 실명 등록제를 기반으로 휴대폰 번호가 디지털 신원의 핵심 역할을 하며 SMS 인증 의존도가 매우 높습니다. 최근 국가 주도의 통합 디지털 ID 시스템 도입을 추진 중이나, 프라이버시 및 통제 강화 우려가 큽니다.
• 일본: 정부가 발급하는 '마이넘버 카드'와 공개키 기반 구조(JPKI)를 활용한 인증이 확대되고 있어, 휴대폰 번호 중심성은 상대적으로 낮습니다.

한국은 사용자 편의성은 높지만, 이번 사고에서 보듯 휴대폰 번호와 통신사에 대한 과도한 의존성이 핵심 취약점으로 작용하고 있습니다.

안전한 디지털 사회를 위한 제언

SKT 해킹 사태는 단순한 기술적 문제를 넘어 우리 사회의 디지털 안전망 전반을 되돌아보게 합니다. 유심 교체와 같은 사후 조치에만 기댈 것이 아니라, 근본적인 시스템 개선이 시급합니다.

SMS 인증 의존도에서 벗어나 인증 앱, 하드웨어 키 등 피싱에 강하고 안전한 다중 요소 인증(MFA) 방식을 적극적으로 도입하고 확산해야 합니다. 또한, HSS와 같은 핵심 통신 인프라를 주요정보통신기반시설로 명확히 지정하여 국가 차원의 관리 감독을 강화해야 합니다. 사용자 역시 스스로 보안 의식을 높이고 안전한 인증 수단을 적극 활용하는 노력이 필요합니다.

궁극적으로 이번 사고는 통신 네트워크가 단순한 편의 서비스를 넘어 국가 사회의 근간을 이루는 핵심 인프라임을 다시 한번 확인시켜 주었습니다. 이를 위해 보안 투자에 대한 정부의 강력한 정책적 드라이브가 필요하며, 기업들 역시 단기적인 이익 추구보다는 투자 비용 증가를 감수하고서라도 안전한 시스템 운영을 최우선으로 삼는 책임감 있는 자세를 보여야 할 것입니다. 정부, 기업, 사용자 모두가 각자의 위치에서 책임을 다하고 긴밀히 협력하여, 더욱 안전하고 신뢰할 수 있는 디지털 환경을 구축하기 위한 노력을 지속해야 할 것입니다.

[뉴스온블로그]

구독자에게 드리는 개인적 의견 (구독은 무료입니다).

"My Take"

국가는 개인정보를 지킬 의지가 있는 것인가?