개인정보보호, 소프트웨어 정책
통신3사 중 SKT만 ‘유심 정보 암호화’ 누락
류정환 부사장 “법적 사항 미비…반성 중”
시민단체 등 지적…“자체 판단해 암호화해야”
최태원 SK그룹 회장 ‘대국민 사과’ 나서기도
[헤럴드경제=차민주 기자] 그동안 통신3사(SKT·KT·LGU+) 중 SK텔레콤만 유심 정보를 암호화 없이 평문으로 저장해 온 것으로 나타났다. SKT가 이번 대규모 해킹 사태의 표적이 된 것도 이와 무관치 않다는 해석이 나온다.
8일 관련 업계에 따르면 지난달 SKT의 대규모 유심 해킹 상태가 발생하기 이전에 통신3사 중 유일하게 SKT만 유심 정보 암호화 처리를 하지 않은 것으로 드러났다.
지난달 30일 서울 여의도에서 열린 국회 과학기술정보방송통신위원회 청문회에서 류정환 SKT 부사장은 “마케팅 쪽은 암호화가 거의 다 돼 있다고 보지만, 네트워크 쪽은 암호화돼 있지 않은 부분이 많다”며 “데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다”고 발언한 바 있다.
즉 유심 정보를 저장할 때 암호화를 빠뜨린 채, 평문으로 저장했다는 의미다. 정보를 암호화된 상태로 저장하면 복호화 키가 함께 유출되지 않은 이상 공격자가 정보를 복원해 읽는 것이 불가하다. 반면 평문으로 저장하면 원본 정보 유출이 손쉽다.
SKT 측은 유심 정보 암호화 관련 법적 의무가 없단 입장이다. 류 부사장은 “법적 사항도 그랬는데, 저희도 그 부분에 대해 굉장히 반성하고 있다”며 유심 정보 암호화 관련 내용이 법적으로 명시되지 않았다고 언급했다. 실제 개인정보보호법 제24조에 따르면 암호화 저장 대상 정보는 비밀번호와 주민등록번호·여권번호·운전면허번호·외국인등록번호 등 고유식별정보로, 유심 정보는 누락돼 있다.
KT 관계자는 “당사 네트워크 부문 고객 유심 정보는 암호화된 상태로 저장됐다”고 했다. LG유플러스 관계자는 “마케팅 부문은 주민등록번호·계좌번호 등 개인정보를, 네트워크 부문은 장비 혹은 유심 정보 부분을 의미하는데, 당사는 마케팅 부문뿐만 아니라 네트워크 부문 유심 주요 정보까지 암호화된 상황”이라고 설명했다.
‘법적 의무’가 없음에도 SKT 외 타 통신사는 암호화를 진행하면서, SKT의 미흡한 보안 의식이 드러났다는 지적이 나온다. 시민단체 정보화사회실천연합(정실련)은 공식 홈페이지를 통해 “서비스 제공 필수 정보를 평문으로 저장한 것은 고객 정보 보호에 대한 안일한 인식”이라며 “개인정보보호법상 암호화 저장 대상 정보에 유심 정보가 없더라도, 통신 서비스의 핵심 데이터에 대한 암호화는 SKT가 자체적으로 판단해 암호화 저장·관리 했어야 한다”고 비판했다.
이어 정실련은 “정보를 암호화해 저장하면 복호화 수행으로 처리 시간이 늘어나나, 이는 장비 성능을 향상하고 증설하면 해소할 수 있는 문제”라며 “기술보다는 비용의 문제”라고 덧붙였다.
(이하 생략)
기사보기