멜트다운: 정보 보안의 코끼리 발
멜트다운
– 정보 보안의 코끼리 발 –
필자는 공포 소구를 좋아하지 않는다. 자연의 동물로 태어나 평온을 추구하고 불안을 멀리하는 것은 당연한 일이다. 불안을 자극하는 광고 소구에 불편을 느끼지 않는 사람은 아마도 없을 것이다. 물론, 어지간한 일에는 눈길도 주지 않는 현대인의 무심함을 이해는 한다. 그러나 개개인의 피로 한계를 시험하듯 외줄 타기를 하는 이 사회 속에, 이윤 증대라는 하찮은 목표를 위해 공포 마케팅을 남발하는 것은 ― 그 생리학적 근거가 어찌 되었든 간에 ― 천박하다고밖에 평가할 수 없다.
이것은 고백이거나, 혹은 자수라 할 수 있겠다. 필자는 그동안 독자 여러분께 많은 불편을 주었다. 진이 빠지고 눈앞이 캄캄해지는 주제들만 골라 그것에 대해 구구절절 늘어놓는 결례를 범했다. 그러나 실은 필자도 그런 글을 쓰고 싶지 않다. 그저 자작나무에 관하여, 용기 잃은 닻에 대하여, 혹은 커피나 차에 관한 잡담을 한껏 떠들어대고 싶을 뿐이다. 그 우울하고 일방적인 필담은 결코 본의가 아니다. 필자는 겨울 내내 언어의 유희 속에 녹아 잠들고 싶다.
그런데 우리가 약하고 피곤할 때, 밤이 깊고 음울한 때, 자꾸만 누군가 나타나 방문을 두드리지 않던가? 누가 오기로 예정되어 있던 것도 아닌데 말이다. 의식을 일깨우는 소식을 바람과 나뭇가지로 치부하더라도, 진실을 말하는 검은 부리를 언제까지나 무시할 수는 없는 법이다. 바깥의 소음을 떨쳐내려면, 우리는 결국 한밤의 불청객을 맞이해야 한다. 그것을 향해 악마라 매도하든 잃어버린 이름을 외치든 간에, 그 위협적인 흉물을 두 눈에 담아야만 한다.
독자께서도 이제 눈치채셨다시피, 필자는 이번에도 즐겁지 않은 화제를 다룰 것이다. 예를 들어, 한국에서 정보가 어떤 식으로 취급되는지에 관해서라든가.
2025년 4월 24일, 한 시민의 휴대전화에 문자 메시지가 전달되었다. 그것은 대통령 경선 캠프의 후보자 명의로 전달된 위촉장이었다. 증명서 발행업체로부터 온 메시지를 보고 당사자는 먼저 의문을 표했다. 그는 정당에 가입하거나 활동한 이력이 없었다. 그런데도 그를 특정하여 위원회의 정책특보로 추천되었고, 위촉장이 당사자의 동의 없이 전달된 것이었다. 뒤따르는 감정은 불안이었다. ‘내 이름은 어떻게 알았지? 전화번호는?’
위촉장을 보낸 증명서 발행업체는 첨부한 링크를 통해 증명서 취소 요청 시 관련 데이터를 삭제한다고 안내했으나, 해당 개인정보를 어디서 어떻게 얻었는지에 대해서는 밝히지 않았다. 위촉장은 일반 시민뿐 아니라 타 선거 캠프 본부장이나 대변인에게도 발송되는 등, 살포에 가까운 수준으로 남발되었다. 이는 지난 20대 대선 당시 윤석열 후보 캠프에서 임명장을 뿌렸던 일의 데자뷔였다. 그리고 한편으로는, 한국에서 개인정보가 어떻게 운용되는지를 보여주는 확실한 지표이기도 하다.
한국의 길거리에는 많은 정보가 굴러다닌다. 명함, 전화번호, 지문이 묻은 입장권, 필체가 적힌 쪽지, 때 묻은 번호 패턴, 폐기 저장장치 같은 것 말이다. 그리고 통신 셀과 라우터, 데이터베이스에서는 그보다 압도적으로 많은 양의 개인정보가 급부를 받고 (혹은 무상으로) 거래되고 있다. 그것은 박람회나 행사에 참여하기 위해 자발적으로 건넨 정보일 수도, 어느 업체가 약속과 달리 저장된 정보를 지우지 않고 다른 곳에 팔아넘긴 것일 수도 있다. 모든 것에 값이 매겨지는 사회에서 당신의 개인정보는 쿠폰이나 이용권 정도의 가치를 지닌다. 형편없는 액면가에 미리 실망하는 독자가 없기를 바란다. 리스크가 대지진을 앞둔 스트래들 포지션보다 크다는 얘기는 아직 시작도 하지 않았다.
2025년 4월 22일, 다크웹의 포럼에는 KS한국고용정보의 데이터를 판매하는 게시글이 올라왔다. 이는 관리자(admin) 계정을 탈취하고 유출한 임직원 정보가 암호화되지 않은 상태로 판매되고 있는 것이었다. 규모는 22GB, 가격은 15,000달러였다. 이는 지금까지 국내에 알려진 개인정보 암거래 중 가장 충격적인 사례일 것이다. 그리고 이 표현은 ‘다크웹을 통한 유출 정보의 거래’가 이번이 처음이 아니라는 것을 뜻한다.
현재 1명분의 개인정보 패키지는 평균 15~65달러 가격에 거래되고 있으며, 이 패키지에는 금융 정보나 의료 기록이 포함될 수 있다. 이렇게 판매된 정보는 개인을 겨냥한 사회공학 범죄에 악용되며, 피해자는 소속 집단의 정보를 (의도치 않게) 제공하는 노드가 되고, 이 연쇄의 끝은 대형 보안 사고로 이어지게 된다. 아직 설득되지 않았는가? 그렇다면 양념을 조금 치겠다. 2011년의 RSA Security 해킹 사고의 시작은 회사 이메일을 가장한 ‘피싱’이었다. 당시 RSA Security의 주요 고객 중 하나는 항공기로 압도적인 제공권 구축에 기여한 유명 방위산업체 ‘록히드 마틴Lockheed Martin’도 포함된다.
필자는 이전에 하인리히의 사고 삼각형 모델을 두고 ‘1:29:300의 위계가 아닌 γ→β→α의 관계로 해석해야 한다’라고 말한 적이 있다. 언제 어디서든 1건의 중대 사고가 발생할 수 있고, 우리는 이것을 예방하기 위해 정기적으로 안전을 확인하는 것이라고. 이는 정보 보안에서도 마찬가지라고 필자는 감히 주장한다. 그러나 안타깝게도, 개인정보를 수집‧취급하는 대다수 기업과 안보도 보안도 꼴찌인 위정자들은 이 문제에 관심이 있는 것 같지 않다. 보안 사고 예방과 피해자 구제를 외치는 시민이 이렇게 많은데도 말이다.
그런 무관심이 무방비한 체질을 만든 것일까? 한국에서는 기어이 중대한 침해사고가 발생하고 말았다. 그것은 2025년 4월의 끝을 공포와 혼란의 도가니로 밀어 넣었으며, 앞으로 어떤 파란을 몰고 올지 알 수 없는 진행 중인 보안 사고이다. 이른바, ‘SK텔레콤 유심 정보 유출’ 사건이다.
SK텔레콤이 이상 징후를 최초 인지한 시간은 18일 오후 6시 9분이다. 악성 코드 발견은 같은 날 오후 11시 20분, 유출 데이터의 분석은 19일 오후 11시 40분경에 완료되었다. 해킹 공격임을 인지한 후 유출 데이터의 유형을 확정하기까지 걸린 시간은 약 22시간이다. 그러나 SK텔레콤이 한국인터넷진흥원(KISA)에 해킹 공격을 보고한 시점은 20일 오후 4시 46분이다. 이는 비정상적인 데이터 이동을 인지한 지 45시간 만이며, 악성 코드를 발견한 시점으로부터도 40시간가량의 시차가 있다.
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조의3에 따르면, 정보통신서비스 제공자는 침해사고 발생 시 ‘즉시’ 그 사실을 과학기술정보통신부 장관 또는 한국인터넷진흥원에 신고해야 한다. 일반적으로 ‘24시간 내 보고’로 통용되고는 있으나, 이는 어디까지나 ‘최대한 빠르게’를 골든 타임에 빗대어 말한 것일 뿐이다. SK텔레콤은 45시간 지연 보고로 해당 의무를 위반했으며, 이미 유출 데이터의 유형과 규모를 파악했음에도 침해사고 신고서에는 ‘의심 정황’으로 표기하는 등 문제를 내부에서 처리하려는 움직임을 보였다. 이외에도 피해지원 서비스/후속조치 지원/중소기업 정보보호 지원 개인정보제공/사이버 위협정보 분석공유 시스템 개인정보제공 등의 항목에 모두 아니오(N)로 표기하며 대부분의 지원 및 정보제공을 거부했다.
문제가 본격적으로 가시화된 것은 22일부터이다. SK텔레콤의 홈가입자서버(HSS)가 뚫렸다는 기사가 오후 5시경에 게시되었고, 정보는 그 심각성에 비해 다소 느린 속도로 하루에 걸쳐 확산되었다. 사태를 조기에 인지한 사람들은 자비로 SIM 카드를 교체했고, SK텔레콤에서는 ‘유심 보호 서비스’를 대책으로 내세웠지만, 전문가들은 근본적인 해결법이 아니라고 평했다. 정보 유출이 알려진 지 3일 차인 24일 11시, SK텔레콤은 뒤늦게 ‘유심 무상 교체’와 ‘비용 환급’을 발표했으나, ① 고객이 직접 지점을 방문해야 하는 한계 ② 유심 재고 부족 ③ 고객에게 침해사고를 고지하지 않는 수동적 태도 ④ 늑장 대응 ⑤ 사건을 이용해 자사 서비스를 영업하는 본말전도 등 전방위로 비판받았다.
SK텔레콤은 28일부터 ‘유심 무료 교체 예약시스템’을 시작했으나, 뱅크런을 방불케 하는 많은 인파가 몰리며 접속 지연을 겪었다. 온라인은 대기 지연, 오프라인은 재고 부족으로 어느 쪽도 나을 게 없었다. 유심 교체와 함께 권장된 ‘명의도용방지서비스’ 또한 같은 문제를 겪었으며, 가장 필요한 순간에 서비스가 중단되는 아이러니한 모습을 보이기도 했다. 그러는 와중 지점 방문 고객은 무리한 틈새 영업이나 불친절한 응대를 겪었고, 대리점은 이윤 추구를 할 수 없는 상황에서 과수요와 응대 부담에 시달렸다. 정보 유출을 확인한 시점부터 대응책을 수립했더라면 충분히 혼선을 완화할 수 있었으나, 자사 서비스 가입만을 고집하며 재정 부담을 회피하려는 근시안적 태도로 호기를 놓친 것이었다.
30일, 유영상 SK텔레콤 대표이사는 국회 과학기술정보방송통신위원회 청문회에 출석해 질의를 받았다. 이날 청문회는 SK텔레콤의 입장과 방법론을 확인할 수 있는 자리였으나, 그 내용은 전반적으로 기대 이하였다. 유 대표는 유심 물량 확보에 대해 대략적인 수치를 제시하기는 하였으나, 임원들이 유심을 교체하지 않았으며, ‘유심보호 서비스만으로 충분할 것’이라는 SK텔레콤의 기존 주장을 반복했다. 번호이동 위약금 폐지에 관한 질문에는 “검토”라는 모호한 표현을 내놓았고, 자사 위약금 면제 규정에 ‘회사 귀책 사유로 인한 경우’가 포함되어 있음을 지적한 뒤에도 입장은 달라지지 않았다. 이러한 태도에 의원들은 민간의 상황을 예로 들어 증인을 질책하였으며, 경영층의 여론 통제 시도로 인한 스트라이샌드 효과 사례가 이례적으로 청문회 자료로 쓰이기도 했다.
통신사를 옮기는 고객은 꾸준히 늘고 있지만, SK텔레콤은 현재까지 귀책 사유로 인한 위약금 면제를 적용하지 않고 있다. 오히려 ‘유심보호 서비스 가입 일괄 적용’과 ‘신규 가입 및 번호이동 중단’을 예고하였으며, 부족한 유심 물량에 대해서는 ‘유심 포맷 기술 개발’을, 당장 출국을 앞둔 가입자에 대해서는 ‘해외 로밍 가능 조치’를 대책으로 내놓았다. 그러나 SK텔레콤의 ‘후속 대처’는 “그동안 개발 가능했던 기술을 유심 장사 때문에 미뤄뒀다”, “행정지도를 핑계로 고객 이탈을 막으려 한다” 등의 매서운 비판만을 유발하고 있다. 언제나 한발 늦는 기업의 이기주의가 청산되지 않는 한, 이를 향한 소비자의 냉랭한 시선이 거두어지는 날은 요원할 것이다.
USIM에 저장되는 정보로는 집적 회로 카드 식별자(ICCID), 국제 이동국 식별 번호(IMSI)와 가입자 인증키(Ki), 운영자 코드(OP)가 있다.
① ICCID는 SIM마다 부여되는 고유 일련번호로, 코드에는 국가와 발급자 정보 등이 포함된다.
② IMSI는 이동 통신에서 가입자를 식별하기 위해 할당되는 번호로, 일반적으로는 제삼자가 가입자를 특정하는 것을 방지하기 위해 임시 번호인 TMSI를 주로 전송한다.
③ USIM과 인증센터는 비밀키를 대칭 암호로써 공유하며, 네트워크에서 Ki로 생성한 인증 벡터를 전송하면 SIM은 Ki를 통해 이를 검증한다.
④ OP는 이동 통신 네트워크 운영자에게 할당된 식별자이며, 키 생성 알고리즘에 직접 입력되지 않고 Ki와 OP의 파생 코드인 OPc의 형태로 사용된다.
이러한 정보가 유출되었을 시 발생할 수 있는 문제로는 ‘SIM카드 복제’가 있으며, 이는 제삼자가 고객의 가입자 정보를 도용하고 통신 서비스(전화, 문자, 본인인증)를 가로챌 수 있음을 뜻한다. 여기에 더해, 국제 이동 단말기 식별 번호(IMEI)까지 유출된 시나리오를 가정하면, SIM-단말기 정보 매칭을 활용한 보안도 안전하지 않게 된다.
이번 보안 사고는 HSS를 통해 USIM 저장 정보를 포함한 고객 정보가 유출된 것이다. HSS는 이동 통신 서비스 가입자의 권한을 확인‧관리하는 중앙 데이터베이스이다. HSS에는 전화번호는 물론, 상술한 IMSI, IMEI, 그리고 인증키 등의 정보가 저장된다. HSS는 시간 처리에 민감한 관계로 정보 자체가 암호화된 형태로 저장되지는 않으며, 응답 과정에서 암호화-복호화를 하는 방식으로 정보를 주고받는다.
HSS는 보안을 위해 외부와 직접 연결되지 않으며, 배스천 호스트Bastion Host가 중간에서 내부와 외부 네트워크를 연결한다. 배스천 호스트는 성형 요새의 돌출부처럼 ‘외부에 노출된 방어벽’이라는 점에 착안해 붙여진 명칭이다. 이 게이트웨이는 중요 방화벽인 만큼 높은 보안 수준을 요구하는데, 다요소 인증Multi-Factor Authentication과 액세스 제어, 그리고 지속적인 감시 및 관리로 보호하는 게 일반적이다. 방화벽과 침입 탐지/방지 시스템(IDS/IPS)이 정상 작동한다는 가정 하에, (내부 조력자가 있는 게 아니라면,) 공격자는 이 단계를 우회하는 것이 불가능하다.
이렇듯 뚫린다는 것을 가정하기 힘든 HSS의 정보가 외부로 유출되었다. 도대체 어떻게 된 것일까?
악성 코드의 감염 경로는 현재 조사 중이나, 공격 방식에 대해서는 버클리 패킷 필터Berkeley Packet Filter(BPF)를 활용한 백도어(BPFDoor) 악성 코드로 의견이 수렴하고 있다. BPF는 네트워크 패킷이 운영체제 수준에서 캡처‧필터링 되도록 허용하는 기술로, BPFDoor는 공격자의 매직 패킷에 매칭되는 패킷 필터를 등록해 잠복하는 공격 방식이다. BPFDoor는 ① 커널 수준에서 동작하고 ② 이름을 변경해 정상 프로세스로 위장하며 ③ 포트를 계속 열지 않아도 되는 특성 때문에 탐지하기 쉽지 않다. BPFDoor는 /dev/shm에서의 프로세스 복제, 추가된 패킷 필터, iptables로 방화벽 규칙을 추가/제거하는 행위, 그리고 포트 리다이렉트와 같은 의심스러운 활동을 통해 탐지된다.
SK텔레콤이 악성 코드 감염을 인지한 계기는 ‘트래픽 이상 징후’였다. 9.7GB 규모의 데이터 전송은 인증 데이터베이스에서 전혀 일반적이지 않다(문서 작업에 익숙한 독자께서는 ‘텍스트 파일이 9.7GB의 크기를 가지는 것’이 어떤 의미인지 잘 아시리라 믿는다). 보안관제센터에서 대규모 트래픽을 감지한 뒤에야 조사가 시작되었다면, 유출 이전에 이상 징후를 탐지하는 것이 불가능했고, 이는 탐지 시스템이 해당 공격을 방지하는 데 충분하지 않았음을 시사한다. BPFDoor는 동작 시 ① 패킷을 받고 ② 방화벽 규칙을 변경하거나 ③ 포트를 여는 행위가 필수적이다. 탐지하기 어려운 공격 방식임은 사실이나, 중앙 데이터베이스를 보호하기 위한 다층 보안 체계라면 불가항력이라 주장할 수는 없다.
사고 후, SK텔레콤은 이사회에 정보 보안을 담당하는 임원이 없고, 최고정보보호책임자(CISO)는 의사결정에 있어 큰 영향을 주지 못하는 구조적 결함을 지적받았다. SK텔레콤의 2024년 정보보호 투자액은 약 600억원으로, 2022년 대비 4% 감소한 수치이며, 경쟁사에 비해 적은 금액이다. 인공지능 시장에는 약 6000억원의 누적 투자금을 들였으나, 첨단 산업 진출에 앞서 보장되어야 할 정보 보안은 1할 정도의 규모로 투자했다는 점은 참으로 아이러니하다. 모든 사고는 과정을 되짚어보면 필연인 것처럼 보인다지만, 이번 침해사고의 경우에는 그저 ‘추수감사절에 낮잠을 잔 칠면조’라고밖에 표현할 길이 없다. 이런 인재人災가 발생하기까지 얼마나 많은 문제가 누적되어왔을지 필자는 상상하기 두렵다.
공격자가 이 시기를 특별히 노렸다는 뜻은 아니지만, 이번 사고는 한국 역사상 전례가 없는 수준의 행정 공백 상태에서 벌어졌다. 컨트롤 타워가 부재할 때 생긴 사고‧재난은 특히 수습하기 어렵다. 우리는 이미 그 사실을 가장 아픈 방법으로 반복해서 배웠고, 그때의 미해결 과제와 감정을 풀지 못한 채 이 사회를 살아가고 있다. 계엄 당시 통신회사는 방송사와 함께 기반 시설을 공격받을 확률이 높은 표적이었다. 계엄 해제 후에는 시위 참여로 인한 이동으로 통신 셀의 핸드오버handover가 급증했고, 정치‧사회적 불안과 사고 소식에 이목이 집중되어 등잔 밑을 밝힐 여력이 없었다. 그 말인즉, 지금이 가장 취약한 시기라는 것은 이동통신사 역시 예외가 아니다. 필자는 묻고 싶다. 이 시점에 한국의 이동통신사는 어느 정도의 경각심을 가지고 있었는가? 얼마나 철저하게 블랙 스완을 대비하였는가?
이번 침해사고는 실로 잃은 것이 많다. 우선, 막대한 양의 정보 자산이 외부로 유출되었다. 유출 피해자는 제때 대처할 시기를 놓쳤고, 더 나은 대안을 선택할 기회를 상실했다. 교체된 기존 유심은 재활용이 불가능해 물리적으로 파기해야 하고, 피해 규모를 생각하면 이는 상당한 수준의 자원 낭비가 된다. 시민들은 힘겹게 얻은 안정감과 평화, 그리고 일상을 또 잃었다. 마지막으로, 한국의 이동통신사는 (거의 남아 있지 않던) 신뢰를 완전히 잃어버렸다.
신용을 기반으로 한 경제에서 정보는 중요한 자산으로 취급된다. 시민 개개인의 정보가 가판대의 씹을 거리처럼 거래되지 않으면 좋겠지만, 무엇이든 값을 매기고 급부에 반대 급부quid pro quo가 있는 세상에 기대할 소망은 아니다. 그렇다면 남은 선택지는 그것을 ‘가치 있게’ 여기고 ‘지키는’ 것이리라.
(필자 나름대로 최선을 다해) 건조하게 서술하기는 하였으나, 이번 사건은 의심의 여지 없이 역대 최악의 보안사고다. 혹자는 이를 7등급 원자력 사고에 비유하였으며, 필자도 이번 사고가 멜트다운 급이라는 데 동의한다. 서버에서 유출된 정보의 코끼리 발Elephant’s Foot을 보고 있자니 복잡한 기분이다. 필자는 본래도 국가의 주요 기반을 민영으로 두는 것에 반대하는 입장이지만, 이번 사고를 통해 신념에 기름 부어지고 불이 붙는 것만 같다.
모든 것에 가격이 매겨지는 세상에서, 정보는 그것이 제대로 보호받을 때만 가치가 유지된다. 통신 서비스를 제공하는 대가로 수익을 보장받고 고객의 정보를 보관한다면, 기업은 마땅히 정보보호의 책임을 다하여야 한다. 국민 자산으로부터 국부國富가 출현하듯, 기업의 자산 역시 소비자가 근원이다. 그리고 시민을 잃은 정치체가 그 존재 의의를 상실하듯, 소비자를 잃은 기업은 존립을 위협받을 것이다. 가치를 안다면, 부디 잘 지키기를.
1. 조금 더 빨리 게시할 수 있었다면 좋았겠지만, 제가 잘 모르는 분야라 내용을 종합하고 신뢰성을 검증하는 데 상당한 시간이 들었습니다.
2. 1에서 언급하였듯 아는 분야가 아니라 신뢰할만한 정보인지는 장담할 수 없습니다. 오류를 정정하기 위해 댓글을 남겨주신다면 감사하겠습니다.
3. 문학으로 찾아뵙고 싶은데 어쩐지 의도대로 되지 않는 느낌입니다. 언제쯤 잡글이 아닌 소설을 게시할 수 있을까요…
4. 1월에 게시한 〈하그리아 왕국〉의 감상평에 “3월에 비평을 올리겠다”고 댓글을 적어둔 게 있는데, 혹시 이걸 기억하시는 분이 있을까봐 남깁니다. 작가님께는 따로 양해를 구했습니다만, 당시 경추와 손목에 피로가 쌓여 표집 속도를 조정하는 일이 있었습니다. 창작도 그렇고, 이런 모습을 보이게 되어 정말 면목이 없습니다. 여러분께서는 부디 건강하시길.
