국내 최대 이동통신사인 SK텔레콤의 유심(USIM) 정보 서버 등 핵심 인프라가 해킹당한 가운데, 해당 서버들이 현행 정보통신기반보호법상 ‘주요정보통신기반시설’로조차 지정되지 않은 관리 사각지대에 방치돼 온 사실이 국회에서 드러났다.
 ▲ 최민희 위원장은 “HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도, 현행 제도의 허점으로 인해 ‘주요정보통신기반시설’ 지정조차 받지 못하고 있었다”며, “정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고, 실질적인 보호대책을 마련해야 한다”고 강조했다. *김충열 정치전문기자 |
국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당·경기 남양주갑)실이 과학기술정보통신부로부터 제출받은 자료에 따르면, 이번에 해킹 피해를 입은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심(USIM) 관련 핵심 서버 등은 ‘국가·사회적으로 보호가 필요한 주요정보통신기반시설’로 지정된 바 없었다.
정부는 정보통신기반보호법에 따라 통신·금융·에너지 등 국가 핵심시설을 ‘주요정보통신기반시설’로 지정, 관리기관의 보호대책 이행을 점검하고 있다. 하지만 현행 제도상 시설의 세부 지정 범위는 1차적으로 민간기관이 정하고, 정부는 타당성 검토 및 필요시 조정만 가능해 사실상 ‘민간 자율’에 방치된 구조다.
이로 인해 가입자 핵심정보가 저장된 서버가 정부의 직접 점검이나 기술 진단 대상에서 빠져 있었던 것으로 드러났다. 실제 SK텔레콤은 최근 3년간 해킹메일, 디도스 등 위기대응 훈련에만 참여했을 뿐, 이번 해킹 대상이 된 서버에 대해선 정부 주도의 기술점검, 침투 테스트를 받은 이력이 없다.
이번 사고로 가입자 식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 이동통신 서비스 본질에 해당하는 정보가 유출된 것으로 확인됐다. 전문가들은 “유심 정보 유출은 단순 개인정보를 넘어 심스와핑, 명의도용, 금융자산 탈취 등 2차, 3차 피해로 확산될 수 있다”며 우려를 제기했다.
이에 대해 최민희 위원장은 “HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도, 현행 제도의 허점으로 인해 ‘주요정보통신기반시설’ 지정조차 받지 못하고 있었다”며, “정부와 통신사는 지금 즉시 기반시설 지정·관리 체계를 전면 재점검하고, 실질적인 보호대책을 마련해야 한다”고 강조했다.
정부는 현재 사고 경위를 조사 중이며 SK텔레콤도 유심 무상교체, 이상탐지시스템(FDS) 강화 등 추가 조치를 시행 중이라고 밝혔으나, 이번 사태를 계기로 ‘국가 관리 사각지대’가 드러난 만큼 제도 전반에 대한 근본적 대책이 시급하다는 지적이 커지고 있다. hpf21@naver.com
* 아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.
*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.
Choi Min-hee, Chairwoman of the National Defense Commission: “23 million citizens’ information was breached… SKT hacked server was not even a national infrastructure”
Unprecedented hacking incident in a blind spot… Comprehensive inspection of national management system needed
SK Telecom, the largest mobile carrier in Korea, was hacked for its core infrastructure, including its USIM information server, and the fact that the servers were left in a blind spot of management that was not even designated as a “key information and communication infrastructure” under the current Information and Communications Infrastructure Protection Act was revealed at the National Assembly.
According to the data submitted by the office of Choi Min-hee, Chairwoman of the Science, Technology, Information, Broadcasting and Communications Committee of the National Assembly (Democratic Party of Korea, Namyangju Gap, Gyeonggi Province), SK Telecom’s home subscriber server (HSS), subscriber authentication key storage system, and USIM-related core servers that were hacked this time were not designated as “key information and communication infrastructure that requires national and social protection.”
According to the Information and Communications Infrastructure Protection Act, the government has designated key national facilities such as communications, finance, and energy as “key information and communications infrastructure” and is checking the implementation of protection measures by management agencies. However, under the current system, the scope of detailed designation of facilities is initially determined by private organizations, and the government can only review validity and adjust it when necessary, which is a structure that is effectively left to “private autonomy.”
As a result, it was revealed that servers where subscriber core information was stored were not subject to direct inspection or technical diagnosis by the government. In fact, SK Telecom has only participated in crisis response training such as hacking emails and DDoS attacks in the past three years, and has not undergone any government-led technical inspection or penetration testing for the servers that were targeted by this hack.
It was confirmed that information that corresponds to the essence of mobile communication services, such as subscriber identification numbers (IMSI), terminal unique identification numbers (IMEI), and SIM authentication keys, were leaked in this incident. Experts raised concerns, saying, “SIM information leaks can spread beyond simple personal information to secondary and tertiary damage such as SIM swapping, identity theft, and financial asset theft.”
Regarding this, Commissioner Choi Min-hee emphasized, “Although core servers such as HSS and USIM are the national foundation for protecting the safety of national information and communications, they were not even designated as ‘key information and communications infrastructure’ due to loopholes in the current system,” and “The government and telecommunications companies must immediately reexamine the infrastructure designation and management system and prepare practical protection measures.” The government is currently investigating the circumstances of the accident, and SK Telecom also announced that it is implementing additional measures such as free SIM card replacement and strengthening the anomaly detection system (FDS). However, as this incident has revealed a ‘blind spot in national management,’ there is growing criticism that fundamental measures for the entire system are urgent. hpf21@naver.com
