[디지털데일리 오병훈기자] SK텔레콤에서 발생한 유심데이터 유출 사태에 따른 2차 피해 우려가 증폭되고 있는 상황 속, 국회 과학기술정보방송통신위원회(이하 과방위) 소속 일부 의원들이 규탄 및 제도 개선 필요 목소리를 높였다.

29일 과방위 소속 최민희·이훈기 의원(더불어민주당) SK텔레콤 해킹 사태와 관련해 2차 피해 우려를 종식하기 위한 후속 조치가 시급하다고 입을 모았다.

먼저, 최 의원은 SK텔레콤에서 최근 해킹 공격으로 최대 9.7기가바이트(GB) 분량의 정보가 외부로 유출된 정황이 확인됐다고 밝혔다. SK텔레콤에서 제출받은 자료에 따르면, 지난 4월18일 SK텔레콤 보안관제센터에서 비 정상적 데이터 이동이 처음 감지된 것으로 드러났다.

SK텔레콤은 당시 총 9.7GB에 달하는 데이터가 외부로 전송된 사실을 확인했다고 자료에 적었다. 유출된 데이터에는 유심(USIM) 관련 핵심 정보가 포함된 것으로 파악됐다. 이를 문서 파 일로 환산할 경우, 300쪽 분량 책 9000권(약 270만쪽)에 달하는 방대한 양이라는 것이 최 의원 측 설명이다.

SK텔레콤은 보안관제센터가 지난 18일 오후 6시 9분경 9.7GB 자료가 전송되는 트래픽 이상을 처음 감지한 뒤 같은 날 밤 11시 20분쯤 과금분석장비에서 악성코드를 발견했고, 19일 밤 11시 40분에는 홈가입자서버(HSS)에서 데이터 유출이 의심되는 정황을 확인했다고 밝혔다.

최 의원은 “국민 불안이 큰 만큼 SK텔레콤은 하루 빨리 더 많은 양의 유심을 확보해 유심카드 택배운송 등 보다 적극적인 조치에 나서야 한다”며 “번호이동을 원하는 고객에 대해서는 위약금 면제 등 실질적 피해 구제 대책을 즉각 시행해야 한다”고 말했다.

이훈기 의원은 현행 개인정보보호 제도의 실효성에 대해 지적하며, 관련 법 강화 필요성을 역설했다. 이번 사태로 현행 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도 실효성에 심각한 문제가 드러났다는 것이다.

ISMS와 ISMS-P는 과학기술정보통신부(이하 과기정통부)와 개인정보보호위원회(이하 개보위)가 주관하는 국가공인 정보보호 인증제도다.

이 인증은 기업들이 서버와 네트워크 장비 의 기술적·관리적 취약점을 점검하고, 중요 데이터를 암호화하여 해킹을 방어할 수 있도록 요구하고 있다. SK텔레콤은 국내 주요 통신서비스 제공자로서 ISMS 및 ISMS-P 인증을 보 유하고 있었음에도, 대규모 해킹 사고를 막지 못했다.

특히, 해킹 발생 사실 을 최초 인지한 시점(4월18일)과 이를 관계기관(KISA)에 공식 신고한 시점 (4월20일) 사이 약 이틀간의 시간 차가 발생하는 등 초동 대응에 문제점을 드러냈다는 것이 이 의원 시각이다. 이는 SK텔레콤이 ISMS·ISMS-P 인증을 받았음에도, 인증 기준에 명시된 침해사고 탐지, 분석, 보고, 대응 절차가 실제 현장에서 제대로 작동하지 않았다는 것이다.

이 의원은 “이번 SKT 해킹 사태를 계기로 과학기술정보통신부, 개인정 보보호위원회, KISA 등 관계 부처는 ISMS 인증 제도의 실질적 문제점을 철저히 분석해야 한다”며 “국민이 신뢰할 수 있도록 실효성을 갖춘 정보보호 인증체계로 거듭나기 위한 조속한 개선 방안을 마련해야 한다”고 강조했다.