SK텔레콤이 가입자의 유심(USIM) 정보 유출 사고를 낸 뒤 사후 대응을 안일하게 해 논란을 일으킨 가운데 해킹 공격을 받은 이 회사의 서버가 현행법상 ‘주요 정보 통신 기반 시설’에서 제외돼 관리 사각지대에 있었다는 사실이 드러났다.
29일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실에 따르면 SK텔레콤의 홈 가입자 서버(HSS)와 가입자 인증 키 저장 시스템 등은 정보통신기반보호법에 따른 주요 정보 통신 기반 시설로 지정돼 있지 않다. 정부는 이 정보통신기반보호법에 따라 통신과 금융, 에너지 등 국가 핵심 시설을 주요 정보 통신 기반 시설로 지정해 관리 기관의 보호 대책 이행 여부를 점검하고 있는데 SK텔레콤은 해당하지 않아 확인 대상이 아니었던 것이다.
정보통신기반보호법에 따르면 주요 정보 통신 기반 시설의 세부 지정 범위는 1차적으로 민간 기관이 정한다. 정부는 타당성 검토를 통해 필요하다고 인정될 경우 이를 조정할 수 있다. 사실상 민간 자율에 맡기고 있는 구조다. 이에 따라 SK텔레콤은 최근 3년간 해킹 이메일과 분산 서비스 거부 공격(DDoS) 등 기초적인 위기 대응 훈련에만 참여했을 뿐 이번 사이버 공격에서 해킹 대상이 된 서버는 정부 주도의 기술 점검과 침투 테스트를 받은 이력이 없는 것으로 파악됐다.
이에 대해 과학기술정보통신부는 SK텔레콤의 관련 백본망, 게이트웨이, 라우터 등 주요 시설을 기반 시설로 정해 세부 서버로 보안 위협이 확산하는 것을 막아왔다고 해명했다. SK텔레콤은 주요 정보 통신 기반 시설 지정 여부와 관계없이 해킹 의심 정황을 꾸준히 모니터링하고 보안 시스템을 업그레이드하고 있다고 밝혔다. 정부는 SK텔레콤 해킹 사태의 조사 결과가 나오면 마련할 대책을 논의할 때 주요 정보 통신 기반 시설 지정 여부를 검토하겠다는 입장이다.
과기부는 통상 매년 하반기에 주요정보통신기반시설지정위원회 회의를 열어 논의한 뒤 이듬해 상반기에 지정한다. SK텔레콤과 같이 관련 서버가 주요 정보 통신 기반 시설로 지정돼 있지 않은 KT와 LG유플러스의 포함 여부도 함께 논의될 것으로 보인다.
김진욱 기자 reality@kmib.co.kr