지난 4월 발생한 SK텔레콤 해킹 사태로 충청권 가입자를 포함해 이용자 전원의 개인정보가 유출된 것으로 파악됐다.

SKT는 민관합동조사를 통해 유출통보 대상이 특정됨에 따라 28일부터 피해 이용자를 대상으로 통지 문자를 발송 중이다. 여기엔 “2025년 4월 18일에 발생한 SK텔레콤 사이버 침해사고로 인해 고객님의 휴대전화번호, 가입자 식별번호(IMSI), 유심 인증 키 2종(Ki/OPc), 기타 회사 내부 관리용 정보 21종이 유출되었습니다”와 같은 안내가 담겼다. 세대주인 문 모(47·대전 동구) 씨는 “가족 4명 전원에게 유출통지 문자가 발송됐다. 지인들도 받지 않은 사람이 더 적은 것 같다”며 “황당하고 화가 치밀어 오른다. 어떻게 대기업의 해킹 대비가 이렇게 허술한가”라고 꼬집었다.

지난 4일 발표된 민관합동조사단의 최종 조사에 따르면 해커가 SKT 내부 서버에 첫 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 파악된 악성코드만 BPF도어 계열 27종을 포함해 모두 33종이다. 결국 올해 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)가 외부로 빠져나갔다. 이는 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 민관합동조사단이 밝혔다.

SKT는 2022년 2월 23일 악성코드 감염 사실을 발견하고도 신고 의무를 지키지 않았다. 이후 실제 해킹 피해가 있었음에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 늑장 신고했다. 조사단은 통신기록(CDR)을 임시 저장 서버에 저장, 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안관리만 담당한 것을 원인으로 지목했다. 대전 보안업계 관계자는 “매우 비정상적인 보안 시스템을 운영하고 있다. 국가 기간통신망 사업자로서 명백한 관리책임 위반”이라며 “가입자 식별키(IMSI) 기준으론 2695만 7749건의 유심 정보가 유출됐다는데 이건 알뜰폰 가입자를 합친 2500만 명을 넘는다”고 지적했다.

SKT는 뒤늦게 후속 조치로 유심 무상 교체서비스와 함께, ‘USIM 보호서비스’를 전 고객 대상으로 무료 자동가입 조치했다. 하지만 디지털 취약계층은 해킹에 무방비로 노출되고 있다. 대한노인회 대전연합회 관계자는 “인터넷과 스마트폰을 잘 다루지 못하는 고령층은 정보가 유출됐다는 사실을 인지하기도 어렵고 후속 조치를 파악하고 이행하는 것도 힘들 수밖에 없다”며 “바쁘고 아파서 대리점에 못 가는 사람들을 대상으로 온라인 eSIM 전환이 있다는 것도 어찌 알겠나. 노인·장애인을 대상으로 유심보호 자동가입을 해준 것은 다행이나 모르고 지나치는 게 많다”고 토로했다.

한편, SKT 가입자 1만 3000명 대리해 3차까지 집단소송 청구를 끝낸 로피드 법률사무소는 4차 소송 접수를 31일에서 한 주 더 연장키로 했다. 다른 로펌들도 소송 접수를 검토 중이다.

정은한 기자 padeuk@ggilbo.com