(서울=뉴스1) 신은빈 윤주영 기자 = 해킹 공격으로 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤(017670)의 핵심 서버가 정부의 보안 점검 대상에서 제외됐다는 지적이 나왔다.
가입자 핵심 정보가 담긴 통신사 서버를 주요 기반 시설로 지정해 체계적으로 관리하도록 정책을 재점검하고 대책을 마련해야 한다는 목소리가 나온다.
28일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실에 따르면 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심 관련 핵심 서버는 현행 정보통신기반보호법상 '주요정보통신기반시설'로 지정돼 있지 않다.
정부는 이 법에 따라 국가·사회적으로 중요한 시설을 주요정보통신기반시설로 지정하고 있다. 과학기술정보통신부는 민간 분야 관리 기관이 수립한 보호 대책의 이행 여부를 점검한다.
의원실은 정부에 요청한 자료를 통해 SK텔레콤이 기반 시설을 지정할 때 네트워크 장비만 세부시설 범위로 판단했다고 전했다. 핵심 통신 인프라 보호 범위에 가입자 개인 정보가 담긴 유심 관련 서버는 포함되지 않았다는 설명이다.
현행법상 기반 시설의 세부 보호 범위는 민간기관이 1차로 정한다. 정부는 타당성을 검토하거나 필요할 경우 조정만 하는 구조다. 사실상 민간의 자의적인 판단에 의존한다.
이 같은 시스템 한계로 인해 많은 이용자가 가입한 통신사의 해킹 사고를 정부 차원에서 점검하지 못했다는 주장이 제기된다.
최 의원은 "HSS와 유심 관련 핵심 서버는 국민 정보와 통신 안전을 지키는 핵심 기반임에도 현행 제도의 허점으로 주요정보통신기반시설 지정조차 받지 못했다"며 "정부와 통신사는 즉각적으로 기반 시설 지정·관리 체계를 전면 재점검하고 실질적인 보호 대책을 마련해야 한다"고 말했다.
SK텔레콤은 지난해까지 최근 3년간 해킹 메일이나 디도스(DDoS) 등 일부 위기 대응 훈련에만 참여했다. 이번에 실제 해킹 대상이 된 서버가 정부의 직접적 기술 점검이나 침투 테스트를 받은 적은 없다.
SK텔레콤 측은 기반 시설 지정 여부와 상관없이 해킹 의심 정황을 꾸준히 모니터링하고 보안 시스템을 꾸준히 업그레이드하고 있다고 전했다.
정부는 해킹 사태 조사 결과가 나오면 순차적으로 대책을 마련할 때 기반 시설 지정을 검토해 보겠다는 입장이다. 과기정통부에 따르면 통상 통신사 개인정보 침해 사건 조사는 종결까지 2~3개월이 소요된다.
과기정통부 관계자는 "조사 후 대책 마련 때 여러 의견과 사안을 고려해 보겠다"고 전했다.
