며칠 전 SKT의 유심 정보가 해킹당했다는 소식이 전해졌다.
단순한 유출이 아니다. 전국 수천만 명 가입자의 민감한 정보가 무방비로 노출될 뻔한, 심각한 사건이다.
이번 사건은 다행히도 SKT 내부 보안관제 조직이 이상 징후를 감지해내면서 세상에 알려졌다.
24시간 내 신고라는 원칙은 지키지 못했지만, 다크웹에 정보가 올라오고 나서야 뒤늦게 알게 되는 전형적인 참사 시나리오는 피했다.
이 점은 분명 칭찬할 부분이다.
보안관제팀이 없었다면, 우리는 아마도 몇 달 뒤 누군가의 스팸 문자 폭탄이나 금융 사기를 통해 이 사실을 처음 접했을 것이다.
하지만, 문제는 그 다음이다.
정부는 왜 아무 말이 없나?
2014년 카드3사 개인정보 유출 사건을 기억한다.
당시 금융위원장과 금융감독원장이 직접 국민 앞에 나와 고개를 숙였다.
카드사 CEO들은 줄줄이 사퇴했고, 심지어 이미 퇴직한 전임 대표들까지 해임 징계, 재취업 금지, 퇴직금 환수 등의 초강경 조치가 이어졌다.
이번에는?
정부는 조용하다.
아무도 나서지 않고 있다.
공식 사과도 없고, 범정부 차원의 재발 방지 대책도 들리지 않는다.
왜일까.
이 정부는 수장을 잃고 방향을 잃었기 때문일까?
아니면 SKT가 약정으로 고객을 ‘붙잡아둘’ 수 있어서일까?
이유는 알 수 없다.
하지만 하나는 확실하다.
2014년과 같은 진지함과 책임감은 이번엔 어디에도 보이지 않는다는 것이다.
SKT는 무엇을 하고 있나?
오늘 우리 집 앞 SKT 대리점에는 긴 줄이 늘어서 있었다.
대부분은 어르신들이었다.
어렵게 스마트폰을 배우신 분들이, 해킹 때문이라는 것도 잘 모른 채, “유심 바꿔야 한다”는 안내에 따라 줄을 서고 있었다.
유심 하나의 원가는 1,000원 남짓이나 할까?
하지만 고객들은 매달 7만 원 가까운 요금을 내고 있다.
그런데도 유심 교체조차 고객이 알아서 줄 서서 해결해야 한다.
이게 과연 고객을 대하는 자세인가?
게다가 SKT는 이번 해킹 피해 사실을 고객들에게 명확히 알리지 않고 있다.
“일부 고객”이라고 모호하게 표현하거나, “문자 공지” 하나로 넘어가려 하고 있다.
이래도 되는 걸까.
그래도 한 가지, 보안관제팀의 활약은 긍정적이다.
이번 사건으로 SKT의 보안 수준은 매우 비판 받아 마땅하지만, 다크웹에 정보가 풀리기 전에 자체 탐지한 것은 큰 의미가 있다.
- 해킹사건 24시간 내 신고에 실패한 것으로 보이긴 해도, 보안관제팀이 비교적 빠르게 움직였고,
- 해커들이 아직 유출 정보를 현금화할 방법을 찾지 못한 것으로 보인다.
이 덕분에 피해 확산을 조금이라도 막을 수 있는 골든타임이 확보되었을 수 있다.
사실, 해킹의 특성상 저 하나의 시스템만 해킹당한 것인지, 어디를 통해서 얼마나 많은 장비들을 해킹당하고 최종 발각 지점이 저 곳이 된 것이지 아직 확신할 수 없기에 골든타임이라는 것도 추측에 불과하다.
문제는 지금이다.
이 시간을 허비하면 모든 게 수포로 돌아간다.
시간은 우리 편이 아니다!
지금 SKT가 해야 할 일은 명확하다.
- 고객들에게 정확히 설명하고,
- 무상으로, 편리하게 유심을 교체할 수 있게 하고,
- 추가 피해를 막기 위한 모든 노력을 다해야 한다.
- 책임있는 임원의 사퇴가 동반되어야 한다.
정부도 손 놓고 있어선 안 된다.
책임 있는 자세를 보여야 한다.
그게 바로, 공공 인프라를 담당하는 기업과 국가의 최소한의 책무다.
CEO와 CISO(정보보호최고책임자)가 직접 보안 기술을 적용하는 것은 아니지만, 그들의 지휘를 받아 보안 조직은 움직인다. 인력도, 예산도, 방향도, 모두 C-level에서 정해지며, 책임도 C-level 에 있다. 그렇기에 정보보호를 책임지는 조직은 마땅한 권한을 갖고 있는 임원으로 제한하는 것이다. 그리고 기업들을 감시할 책무 또한 정부에 지워둔 것이다.
