국내 최대 이동통신사 SK텔레콤의 핵심 서버가 해킹으로 뚫렸지만, 해당 서버들은 정부가 관리하는 ‘주요정보통신기반시설’로조차 지정되지 않은 사실이 드러났다. 국민 2300만명의 유심(USIM) 정보가 털리는 초유의 사태가 벌어졌는데도, 국가 관리 체계 밖에 놓여 있었던 것이다.

국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당·경기 남양주갑)이 과학기술정보통신부로부터 제출받은 자료에 따르면, 이번 해킹 피해를 입은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심 관련 핵심 서버 등은 모두 국가 보호 대상에서 빠져 있었다.

정보통신기반보호법은 통신, 금융, 에너지 등 핵심 시설을 ‘주요정보통신기반시설’로 지정해 정부가 관리하도록 규정하고 있다. 그러나 현행 제도상 지정 대상 선정은 민간 사업자가 자율적으로 제출하고, 정부는 이를 심사하는 구조여서 관리 사각지대가 생겼다.

결국 국민 개인정보의 핵심이라 할 수 있는 유심 인증키, 단말기 고유식별번호(IMEI), 가입자 식별번호(IMSI) 등이 정부 관리망 밖에서 해킹에 노출됐던 셈이다. SK텔레콤은 최근 3년간 해킹메일, 디도스(DDoS) 위기 대응 훈련에는 참여했지만, 이번에 해킹당한 서버에 대해서는 정부 주도의 기술 점검이나 침투 테스트를 받은 적이 없었다.

전문가들은 “유심 정보 유출은 단순 개인정보 침해를 넘어 심스와핑, 명의도용, 금융자산 탈취 등 심각한 2차·3차 피해로 이어질 수 있다”고 경고했다.

최민희 위원장은 “HSS, USIM 서버는 국민 통신 안전을 지키는 국가 인프라인데, 현 제도 허점으로 ‘주요정보통신기반시설’로조차 지정되지 못했다”며 “정부와 통신사는 기반시설 지정과 관리 체계를 즉시 전면 재점검해야 한다”고 밝혔다.

정부는 현재 사고 경위를 조사 중이며, SK텔레콤도 유심 무상교체, 이상거래탐지시스템(FDS) 강화 등 후속 조치에 나섰다고 밝혔다. 그러나 국민 피해를 막기 위해서는 근본적인 제도 개편이 시급하다는 지적이 커지고 있다.