"SKT 서버, 국가 주요정보통신시설 아니다"...관리 사각지대로 방치

SK텔레콤 T타워

SK텔레콤의 유심(USIM) 정보가 해킹 당한 가운데 관련 정보를 저장한 서버들이 정보통신기반보호법상의 주요정보통신기반시설로 지정되지 않았던 것으로 드러났다.

28일 국회 과학기술정보방송통신위원회 최민희 위원장이 과학기술정보통신부로부터 제출받은 자료에 따르면 이번에 해킹 피해를 입은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심 관련 핵심 서버 등은 '국가·사회적으로 보호가 필요한 주요정보통신기반시설'로 지정되지 않았다.

정부는 정보통신기반보호법에 따라 통신·금융·에너지 등 국가 핵심시설을 주요정보통신기반시설로 지정해 관리기관의 보호대책 이행을 점검하고 있다.

하지만 현행 제도상 시설의 세부 지정 범위는 1차적으로 민간기관이 정하고, 정부는 타당성 검토 및 필요시 조정만 가능해 사실상 민간 자율로 방치된 구조라는 지적이다.

이로 인해 가입자 핵심정보가 저장된 서버가 정부의 직접 점검이나 기술 진단 대상에서 빠져 있었던 것으로 나타났다. 실제 SK텔레콤은 최근 3년간 해킹메일, 디도스 등 위기대응 훈련에는 참여했지만, 이번 해킹 대상이 된 서버에 대해선 정부 주도의 기술점검, 침투 테스트를 받은 이력이 없다.

아직 민관합동조사단이 사고 경위를 조사 중이지만 이번에 악성코드 공격을 받은 서버는 HSS 정보를 저장하는 백업 서버로 알려졌다.

이번 사고로 가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이 유출됐다. 일각에서는 심스와핑, 명의도용, 금융자산 탈취 등 2차 피해로 확산될 수 있다며 우려하고 있다.

최민희 국회 과학기술정보방송통신위원회 위원장

이에 대해 최민희 위원장은 “HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도 현행 제도의 허점으로 인해 주요정보통신기반시설 지정조차 받지 못하고 있었다”면서 “정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고 실질적 보호대책을 마련해야 한다”고 강조했다 .

최 의원실 측은 “정부가 현재 사고 경위를 조사 중이며 SK텔레콤도 유심 무상교체, 이상탐지시스템(FDS) 강화 등 추가 조치를 시행 중이라고 밝혔지만 이번 사태를 계기로 국가 관리 사각지대가 드러난 만큼 제도 전반에 대한 근본적 대책이 시급하다”고 지적했다.

박준호 기자 junho@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]