[알파경제=차혜영 기자] 통신사 핵심 서버가 해킹을 당했는데도 정부의 직접 점검이나 기술 진단 대상에서 빠져 있었던 것으로 나타났다.
SK텔레콤 유심(USIM) 정보가 탈취된 가운데, 공격 대상이 된 핵심 서버들이 현행 정보통신기반보호법상 ’주요 정보통신 기반 시설’로 지정되지 않아 관리 사각지대에 놓여있었다.
28일 국회 과학기술정보방송통신위원회 최민희 위원장이 과학기술정보통신부로부터 제출받은 자료에 따르면, 이번에 해킹 피해를 입은 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템, 유심 관련 핵심 서버 등은 국가·사회적으로 보호가 필요한 주요 정보통신 기반 시설로 지정되지 않았다.
정부는 정보통신기반보호법에 기반해 통신·금융·에너지 등 국가 핵심 시설을 주요 정보통신 기반 시설로 지정하고 관리 기관의 보호 대책 이행을 점검하고 있다.
그러나 현행 제도에서는 시설의 세부 지정 범위를 일차적으로 민간기관이 정하고, 정부는 타당성 검토를 통해 필요하다고 인정될 경우에만 조정할 수 있어 사실상 ’민간 자율’에 맡기는 구조다.
이로 인해 가입자 핵심정보가 저장된 서버가 정부의 직접적인 점검 대상에서 제외됐다.
SK텔레콤은 최근 3년간 해킹메일, 디도스 등 위기대응 훈련에만 참여했을 뿐, 이번에 해킹 대상이 된 서버에 대해서는 정부 주도의 기술 점검이나 침투 테스트를 받은 이력이 없는 것으로 파악됐다.
과기정통부에 따르면 주요 정보통신 기반시설 지정은 매년 주요정보통신기반시설 지정위원회에서 논의가 진행된다. 필요성이 제기되면 대상 사업자와의 논의도 거치는데, 통상 매년 하반기에 논의를 시작해 이듬해 상반기에 지정이 완료된다.
올해도 하반기 논의가 시작되는 가운데, 이번에 해킹당한 SK텔레콤의 서버들도 우선 검토 대상에 오를 전망이다. 현재 KT와 LG유플러스도 동일하게 관련 서버가 주요 정보통신 기반시설로 지정되지 않은 상황이다.
최민희 위원장은 이번 정보 유출 사고로 가입자 식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등 이동통신 서비스의 본질에 해당하는 정보가 유출된 것을 지적했다.
최 위원장은 "HSS, 유심 등 핵심 서버는 국민 개인정보와 통신 안전을 지키는 국가적 기반임에도 현행 제도에 허점이 있었다"며 "정부와 통신사는 즉시 기반 시설 지정·관리 체계를 전면 재점검하고 실질적인 보호 대책을 마련해야 한다"고 강조했다.
과기정통부는 통신 3사와 관련 백본망, 게이트웨이, 라우터 등 통신망 주요 시설을 정보통신기반보호법상 기반 시설로 정함으로써 세부 서버 등으로 보안 위협이 확산하는 것을 막아 왔다고 해명했다.
현재 정부는 사고 경위를 조사 중이며, SK텔레콤 역시 유심 무상교체, 이상탐지시스템(FDS) 강화 등 추가 조치를 시행 중이라고 밝혔다.