최근 해킹 공격을 받은 SK텔레콤 통신망을 사용하는 알뜰폰 가입자들 사이에서 개인정보 유출에 대한 불안감이 확산되고 있다. SK텔레콤 측이 자사 통신망과 알뜰폰 망 서버를 분리 관리했지만, 알뜰폰 망 서버에 대한 보안 관리가 상대적으로 소홀했을 것이라는 인식 때문이다.
SK텔레콤은 지난 24일 자사 망을 사용하는 알뜰폰 14개사 고객을 대상으로 ‘유심보호서비스’를 제공한다고 밝혔다. SK텔레콤 측이 지난 22일부터 자사 고객들을 대상으로 유심보호서비스를 제공한 뒤 뒤늦게 조치에 나선 것이다. 과학기술정보통신부에 따르면 SK텔레콤 망을 사용하는 알뜰폰 가입자 수는 약 187만명이다.
SK텔레콤 망을 사용하는 알뜰폰 업체 가입자 김모(41)씨는 “SK텔레콤과 같은 통신망을 사용한다고 알고 있는데, 해킹 공격을 당하면서 알뜰폰 가입자 정보도 털렸을 가능성이 있다. 그런데도 보호 조치가 늦은 것 같아 불만이 크다”고 했다. 또다른 가입자인 박모(37)씨도 “알뜰폰 가입자들도 SK텔레콤 통신망을 사용하는 고객인데 차별적·늑장 대응에 실망해 KT나 LG유플러스 망을 쓰는 알뜰폰으로 옮길 예정”이라고 했다.
알뜰폰 가입자들의 불안감이 증폭된 것은 과거에도 전례가 있었기 때문이다. LG유플러스가 지난 2023년 1월 해킹 공격을 받아 30만명의 고객 정보가 유출됐을 당시, 1만9000명이 넘는 알뜰폰 가입자들의 정보도 함께 유출됐다는 사실이 뒤늦게 확인된 바 있다.
업계에 따르면 SK텔레콤은 알뜰폰과 자사 통신망의 서버를 분리 관리하고 있다. 반면, KT와 LG유플러스는 알뜰폰과 자사 통신망 서버를 통합 관리하고 있다. KT·LG유플러스는 통신망 서버가 뚫리면 알뜰폰도 함께 뚫릴 수 있다는 단점이 있지만, 영세한 알뜰폰 업체 입장에선 대기업인 통신사가 자금·인력을 투입해 서버 보안을 관리해준다는 점에서 장점이 있다.
알뜰폰업계 관계자는 “SK텔레콤은 알뜰폰 가입자의 개통이나 회선유지 정보, 빌링 관련 정보 등을 관리하는 ‘모비우스’라는 시스템을 별도 서버와 프로그램으로 운영한다. 알뜰폰 업체들은 여기에 데이터를 주고 받을 수 있는 API(응용 인터페이스 프로그램)를 붙여 고객 정보를 받고, 관리를 하는 구조”라고 했다. 알뜰폰 망 서버에 대한 보안 관리는 전적으로 SK텔레콤에 달려 있다는 설명이다.
통신업계 관계자는 “SK텔레콤 망 서버도 뚫리는데 알뜰폰 망 서버는 보안 인력 배치나 운영 측면에서 더욱 취약할 것 같다는 생각이 든다”고 했다.
최근 가입자 감소로 어려움을 겪고 있는 알뜰폰 업체들은 자체적인 보안 투자를 줄이는 상황이다. 한국인터넷진흥원(KISA)에 따르면 SK텔링크의 작년 정보보호 투자비는 16억원으로 2022년(18억5000만원) 대비 15%가량 줄었다. 같은 기간 LG헬로비전의 정보보호 투자비는 25억7000만원으로, 전년(44억5000만원)보다 42%나 감소했다.
SK텔레콤은 아직까지 구체적인 피해 규모나 정확한 해킹 시점조차 파악하지 못하고 있다. 사고 인지 24시간 이내에 당국에 신고해야 하는 규정(정보통신망법 제47조)도 위반한 것으로 알려졌다. 회사 측은 고객 정보를 해킹당한 것을 인지한 시점이 이달 19일이라고 발표했지만, 최수진 국민의힘 의원실에 따르면 하루 전인 이달 18일 오후 6시 9분인 것으로 드러났다.
정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부 장관이나 KISA에 신고해야 한다고 규정하고 있다. SK텔레콤의 KISA 보고 시점은 이달 20일 오후 4시 46분이었다.
안정상 중앙대 커뮤니케이션대학원 겸임교수는 “SK텔레콤 망을 사용하는 알뜰폰 가입자들이 ‘좌불안석’에 빠진 건 회사 측의 대응이 소홀했기 때문이다. 개인정보 유출 가능성이 있는 상황에서 선제적인 대응을 하지 않고, 이틀이나 늦게 유심보호서비스를 제공한 건 분명한 늑장 대응”이라고 지적했다.