이동통신 핵심망이 뚫린 충격적 사고…정부·기업의 부실 대응 속 국민 피해만 가중
2025년 4월 발생한 SK텔레콤의 핵심 인증 서버 해킹 사고는 대한민국 통신 인프라의 근간이 얼마나 취약한지를 여실히 드러낸 사건이다. 단순한 개인정보 유출 사고가 아니라, 전국적으로 이동통신망을 위협할 수 있는 수준의 중대한 사이버 침해였다. 국회입법조사처는 “통신사 해킹사고 사후대응의 문제점과 입법과제”라는 보고서를 통해 이 사태를 계기로 현행 법제의 문제점을 분석하고, 시급히 입법 보완이 필요한 핵심 과제를 제시했다. 이번 보고서는 ‘기술 중심의 사이버 보안’이 아닌 ‘제도 기반의 예방과 대응 체계’의 중요성을 부각시키며, 정부와 국회가 책임 있는 정책 추진에 나설 것을 촉구하고 있다.
통신망 핵심부가 뚫렸다: HSS 해킹의 충격
이번 사건의 핵심은 SK텔레콤의 홈 가입자 서버(Home Subscriber Server, HSS)가 해커의 악성코드에 의해 직접 침해되었다는 점이다. HSS는 통신망 접속과 서비스를 위한 가입자 정보를 중앙에서 관리하는 핵심 인프라로, 여기에 저장된 IMSI, 인증키, 위치정보 등은 모든 통신 이용자들의 디지털 신원을 구성하는 필수적 정보다. 이러한 시스템이 뚫리면 단순한 정보 유출을 넘어, 인증 실패로 인한 대규모 통신 장애와 SIM 스와핑을 통한 금융·사회적 피해로 확산될 수 있다. 특히 인증키가 탈취될 경우, 해커는 정당한 사용자인 것처럼 위장하여 통신망에 접속할 수 있어 통신 서비스 자체가 위협받는다.
더 나아가, 이동통신망은 이제 단순한 개인 간의 통화를 넘어, 모바일 금융, 전자정부, 공공안전시스템 등 국가 기반 서비스와도 연결되어 있다. 따라서 HSS 해킹은 ‘개인정보 유출’의 차원을 넘어 ‘국가 안보 침해’로 간주될 수 있으며, 이러한 핵심 기반의 보안 취약성은 향후 더 큰 파장을 일으킬 수 있다. 특히 정보가 악의적으로 재조합될 경우, 개인의 일상, 위치, 행동 패턴까지 감시 가능하다는 점에서 사회적 통제가 현실화될 가능성도 배제할 수 없다.
피해자 통지 체계, 왜 아직도 홈페이지 공지만?
사고 초기 SKT는 고객들에게 홈페이지 팝업창을 통해 단순히 ‘일부 정보가 유출되었을 가능성’을 알렸을 뿐, 어떤 정보가 어떤 경로로 유출되었는지에 대해서는 구체적으로 설명하지 않았다. 더구나 ‘USIM 관련 정보’가 정확히 무엇이며, 그 정보가 유출될 경우 어떤 피해가 발생할 수 있는지에 대한 안내도 전무했다. 이로 인해 일반 이용자들은 사고의 심각성을 판단할 수 없었고, 오히려 각종 커뮤니티와 언론 보도를 통해 단편적으로 전해지는 내용에 혼란을 겪어야 했다.
현재 「개인정보 보호법」은 유출 시점과 항목, 피해 방지 방법 등을 포함한 통지를 원칙적으로 72시간 이내에 이행하도록 규정하고 있지만, 연락처가 확인되지 않는 경우 홈페이지에 게시만 해도 법적 책임을 다한 것으로 본다. 이 조항은 기업이 실제 피해자에게 개별적으로 통보하지 않도록 허용하는 구조적 문제를 안고 있다. 보고서는 이 점을 지적하며, 유출 대상자가 특정되지 않더라도 전체 가입자에게 일괄 안내문자나 이메일을 발송하는 선제 대응을 의무화해야 한다고 주장한다. 특히 유출된 정보가 인증키나 위치정보처럼 민감한 경우에는, ‘잠재적 피해자’의 범위를 넓게 보고 최대한 적극적으로 대응해야 한다는 것이다.
국민에게 경보조차 없었던 정부…재난 경보체계 도입 필요
보고서에서 특히 심각하게 지적한 대목은, 사고 발생 후 정부가 국민에게 위험성을 경고하거나 경보 수준의 조치를 전혀 하지 않았다는 점이다. 과학기술정보통신부는 사고 원인 분석과 조사 결과 발표에 집중했지만, 이 과정에서 일반 국민을 향한 직접적인 안내나 주의 경보는 없었다. 이는 해킹 사고가 단순한 기업 내부 문제가 아니라 사회 전반에 영향을 미칠 수 있는 위기라는 점을 간과한 조치였다.
현행법상 정보통신망법은 사업자 및 관계 기관에 대한 경보 조치만 규정하고 있으며, 국민을 대상으로 하는 ‘사이버 재난 경보 체계’는 마련되어 있지 않다. 보고서는 이 점을 보완하기 위해, 해킹 사고가 일정 수준 이상 광범위하거나 위험하다고 판단되는 경우, 행정안전부와 협의하여 「재난 및 안전관리 기본법」에 따른 재난경보체계를 가동할 수 있도록 법령을 개정해야 한다고 제시한다. 또한, 향후 해킹 사고를 ‘방송통신재난’으로 분류해 재난문자 발송 등 긴급 대응이 가능하도록 체계화해야 한다는 대안도 함께 제시되었다.
조사 권한은 미약, 과태료 1천만원이 전부
해킹 사고 원인을 규명하고 책임을 물을 수 있는 ‘정부의 조사 권한’도 현행 체계에서는 한계가 명확하다. 현행 정보통신망법은 민관합동조사단을 구성해 사업장에 출입하거나 관련 자료 제출을 요구할 수 있도록 하고 있지만, 사업자가 이에 불응하거나 거짓 정보를 제공하더라도 1천만 원 이하의 과태료에 그친다. 대형 기업의 입장에서 이는 부담이 되지 않는 수준이며, 조사 협조가 실질적으로 강제되지 않는다는 한계가 있다.
보고서는 미국의 사이버보안 강화법 사례를 들어, 침해사고 보고 의무 위반 시 강제 소환이나 소송 제기가 가능하도록 제도적 강화를 이뤄야 한다고 강조한다. 또한 국내에서도 공정거래법처럼 이행강제금이나 형사처벌을 규정해 조사 협조를 실질적으로 유도해야 하며, 최소한 과태료의 상향 조정은 시급하다고 평가한다. 향후 재발 방지를 위한 기술적 개선과 사고 원인 규명의 실효성을 담보하려면, 조사에 대한 법적 강제력이 반드시 필요하다는 점이 강조된다.
피해자 보호는 구두 약속뿐…보상 체계 법제화 필요
사고 이후 SKT는 유심 무상 교체와 유심 보호 서비스 가입자에 대한 피해 보상을 약속했지만, 이는 자율적인 조치에 불과했고 그 기준이나 절차도 불명확했다. 피해자가 서비스 가입 여부에 따라 차등 대우를 받을 수 있는 구조 자체가 소비자 보호의 원칙에 어긋난다는 비판이 제기되었다. 더욱이 유출된 정보가 시간이 지난 후 2차, 3차 피해로 이어질 수 있다는 점에서 단기적 보상으로는 충분하지 않다.
보고서는 이 같은 피해자 보호 조치를 법제화할 것을 제안한다. 통신사가 사고 발생 시 조건 없이 유심을 교체하고, 추가 본인 인증 수단을 제공해야 하며, 통신사 이동 시 위약금을 면제해야 한다는 것이다. 또한 개인정보 유출과 피해 간 인과관계를 피해자가 입증해야 하는 현재 구조는 현실과 동떨어져 있다. 따라서 ‘상당한 개연성’이 입증되면 법적으로 인과관계를 추정할 수 있도록 「개인정보 보호법」을 개정할 필요가 있다. 이는 피해자의 입증 부담을 줄이고 실질적인 구제를 가능하게 하는 중요한 제도적 장치가 될 수 있다.
#SKT해킹 #개인정보유출 #사이버보안 #USIM복제 #재난경보 #정보통신망법 #정부책임 #입법과제 #피해자보호 #국회입법조사처
