SK텔레콤 유심(USIM) 해킹 사건은 많은 사람들에게 충격을 안겼다. 단순한 해킹 사고를 넘어, 특정 인증 수단에 과도하게 의존한 구조가 얼마나 위험한지를 보여주는 사회적 경고였다. 디지털 사회가 '신뢰'를 기반으로 작동하는 만큼, 본인확인 체계 전반을 다시 점검할 필요가 있다.

현재 본인확인 체계는 방송통신위원회가 지정한 25개 본인확인기관을 통해 운영되고 있다. 하지만 이 가운데 90% 이상이 이동통신 3사가 제공하는 '휴대폰 본인확인'에 편중돼 있으며, 공공기관, 금융기관, 민간 플랫폼 대부분이 유심 기반 인증 방식을 채택하고 있는 실정이다. 실질적으로 다른 인증 수단은 유명무실한 상태에서 누구나 유심 해킹의 피해자가 될 수 있는 상황에 놓여 있는 것이다.

전문가들 사이에서는 특정 인증 방식에 대한 지나친 의존이 위험하다는 우려가 꾸준히 제기돼 왔다. 유심에는 고유식별번호(IMSI), 인증키 등 민감한 개인정보가 저장돼 있어, 해킹으로 유심 정보가 탈취될 경우 개인의 디지털 신원 전체가 위험에 노출될 수 있기 때문이다. 특히 유심 탈취는 스미싱, 계좌 탈취 등 2차 범죄로도 이어질 수 있어, 통신사나 금융권의 이상거래탐지시스템(FDS)만으로는 완벽한 대응이 어렵다는 지적이 나온다.

이번 사고는 지능형지속위협(APT) 방식의 정교한 해킹이 사용된 것으로 알려졌다. 이는 현재처럼 특정 본인확인 수단에 의존하는 구조로는 고도화된 사이버 공격에 효과적으로 대응할 수 없다는 현실을 여실히 보여줬다.

이제는 본인확인 수단을 다양화하는 것뿐만 아니라, 인증 체계 자체를 구조적으로 재설계할 필요가 있다. 유심 기반 인증이 무력화된 상황에서, 인증 수단은 다양화돼야 하고, 구조 자체도 더 안전하게 바뀌어야 한다. 오늘날의 신원 인증 기술은 단일 수단이 아니라 '조합과 통제'라는 보다 진화된 개념으로 접근해야 한다.

다행히 대안은 이미 마련돼 있다. 정부가 도입한 모바일 신분증은 주민등록증과 운전면허증을 스마트폰에 안전하게 저장해 활용할 수 있는 디지털 신원 인증 수단이다. 이 시스템은 블록체인 기반의 분산 신원 인증(DID) 구조를 채택하고 있어, 인증키와 데이터가 중앙 서버가 아닌 분산 네트워크에 저장·검증된다. 그 결과 중앙 서버를 해킹하거나 통신망을 공격하더라도 모바일 신분증 자체의 인증 정보가 위·변조되거나 탈취될 가능성은 현저히 낮다. 여기에 지문, 얼굴 인식 등 생체인증 기술이 결합돼 보안성도 크게 강화됐다.

모바일 주민등록증과 모바일 운전면허증은 실물과 동일한 법적 효력을 가지고 있으며, 현재 행정기관이나 일부 은행에서는 이미 사용이 가능하다. 하지만 아직은 활용 범위가 제한적이고, 민간에서 거의 쓰이지 않고 있는 실정이다.

현재 모바일 주민등록증과 모바일 운전면허증은 실물 신분증과 동일한 법적 효력을 갖고 있으며, 일부 행정기관과 시중은행에서는 이미 활용이 시작됐다. 하지만 민간 영역에서는 아직 거의 사용되지 못하고 있는 실정이다. 이는 기술의 문제라기보다, 이를 활용할 수 있는 제도와 법적 기반이 뒷받침되지 않기 때문이다. 정부가 추진 중인 '모바일 신분증 활성화' 정책이 실효를 거두기 위해서는, 민간에서도 이를 본인확인 수단으로 자유롭게 활용할 수 있도록 법과 제도 정비가 시급하다.

디지털 시대의 신뢰는 "내 정보를 누가, 어떻게 확인하느냐"에서 출발한다. 현재처럼 특정 방식 하나에만 의존하는 본인확인 구조는 매우 취약하며, 이제는 이를 근본적으로 바꿔야 할 때다. 안전한 디지털 사회는 기술만으로 만들어지지 않는다. 기술을 뒷받침할 정책과 제도, 사회적 인식 변화가 함께 이뤄질 때 진정한 신뢰가 자리 잡을 수 있다.

정부와 민간이 함께 참여해 보다 안전하고 유연한 인증 체계를 논의하고, 실제로 적용해 나가는 노력이 절실하다. 그것이 바로 국민의 정보와 자산을 지킬 수 있는 '디지털 신뢰 사회'로 나아가는 출발점이다.

이기혁 중앙대학교 교수

<기고와 칼럼은 본지 편집 방향과 무관합니다.>