SKT, 유심 인증키 미암호화 논란…SK쉴더스 前 부회장 사임 맞물려 파장

[이코노믹데일리] SK텔레콤의 대규모 유심 해킹 사태가 유심 인증키를 암호화하지 않고 '평문'으로 저장해 온 데서 비롯됐다는 사실이 드러나며 파문이 확산하고 있다.

이 와중에 SK텔레콤의 사이버보안 업무를 총괄해 온 홍원표 SK쉴더스 전 부회장이 사건 발생 직후 사임한 사실이 알려지며 그 배경에도 관심이 쏠리고 있다. SK텔레콤은 국내 통신 3사 중 유일하게 유심 인증키를 암호화하지 않고 평문으로 저장해 온 것으로 나타나 보안 의식 부재라는 비판을 피하기 어려운 상황이다.

국회 과학기술정보방송통신위원회 소속 노종면 의원은 지난 8일 열린 SKT 해킹 관련 청문회에서 이 같은 문제를 지적했다. 노 의원은 “SK텔레콤만 유심 비밀번호에 해당하는 인증키를 암호화하지 않은 것은 선량한 관리자의 주의 의무를 다하지 않은 것”이라고 질타했다.

이에 유상임 과학기술정보통신부 장관도 “SK텔레콤이 유심 인증키를 암호화하지 않은 것은 소홀했다고 생각한다”며 “가급적 암호화하는 것이 보안에 더 유리하므로 그렇게 지도하겠다”고 밝혔다.

앞서 지난달 30일 국회 청문회에서 류정환 SK텔레콤 부사장은 “네트워크 쪽은 암호화돼 있지 않은 부분이 많다”며 “데이터로 저장된 상태에서는 암호화를 하지 않고 있다”고 시인한 바 있다. 정보가 암호화된 상태로 저장되면 복호화 키가 함께 유출되지 않는 한 공격자가 정보를 복원하기 어렵지만 평문 저장은 원본 정보 유출에 취약하다.

KT와 LG유플러스는 이번 SKT 해킹 사고 이전부터 유심 정보를 암호화해 저장해 온 것으로 알려졌다. SKT는 유심 정보 암호화에 대한 법적 의무는 없다는 입장이지만 시민단체 정보화사회실천연합(정실련)은 “서비스 제공 필수 정보를 평문으로 저장한 것은 고객 정보 보호에 대한 안일한 인식”이라며 “기술보다는 비용 문제”라고 비판했다.

이와 맞물려 SK쉴더스를 이끌던 홍원표 전 부회장이 지난달 30일 전격 사임한 사실도 주목받고 있다. SK쉴더스는 SK텔레콤을 포함한 그룹 전반에 정보보안 서비스를 제공하며 사이버보안 관제를 핵심 사업으로 삼고 있어 이번 사고와의 연관성을 의심하는 시선이 나온다.
 
SK쉴더스 측은 홍 전 부회장의 사임은 개인적 사유로 시기만 겹쳤을 뿐 이번 사건과는 무관하다고 선을 그었다. 홍 전 부회장의 임기는 오는 7월 말까지였으며 회사 내부 지침상 연임 여부 통보 시점이 4월 말이었다는 설명이다. 그러나 업계 일각에선 직접적인 책임은 없더라도 도의적 책임을 반영한 결정 아니냐는 해석도 나온다.

최태원 SK그룹 회장은 이번 사고를 “단순 해킹이 아닌 안보의 문제”로 규정하며 지난 7일 “그룹 전반의 보안 체계를 전면 점검하겠다”고 밝혔다. 아울러 외부 전문가가 참여하는 ‘정보보호혁신위원회’ 구성 방침도 내놨다.

SK텔레콤 역시 이번 사태를 계기로 그룹 전체의 보안 체계를 원점에서 재검토한다는 방침이다. 유영상 SK텔레콤 대표는 단말기 식별번호(IMEI) 유출 가능성에 대해 국회에서 “현재 상태로선 100% 안전하다”고 강조했고 류정환 부사장은 “인증키 관련 방어장치를 마련 중”이라고 밝혔다.

이번 사태는 기간통신사업자의 인증 체계가 뚫린 초유의 사고로 평가되며 SK그룹 차원의 책임과 대응 체계 전반에 대한 철저한 점검이 요구되는 상황이다. 향후 SK그룹의 보안 거버넌스 강화 과정에서 SK쉴더스의 역할과 책임 또한 더욱 중요해질 것으로 전망된다.