오는 6월 3일 치러질 조기 대선을 제외하면, 현재 대한민국의 최대 이슈는 단연코 SK텔레콤 해킹 사태다. 지난 4월 22일 SKT는 가입자관리서버(HSS:Home Subscriber Server) 해킹으로 인해 고객의 유심(USIM:Universal Subscriber Identity Module) 정보 25종이 유출됐음을 밝혔다.
다행히 이동통신단말기식별정보(IMEI:International Mobile Equipment Identity)가 유출되지 않아 일각에서 우려했던 복제폰 생성은 불가능한 것으로 확인됐다. 그러나, 이동통신가입자식별정보(IMSI:International Mobile Subscriber Identity), 가입자 전화번호 등이 유출되었기에 탈취된 정보를 기반으로 유심을 복제하여 휴대폰 본인 인증을 통해 고객의 신원을 도용할 수 있다는 우려는 여전하다.
이 사건이 심각하게 바라보는 또 하나의 이유는 해킹 사태의 당사자인 SKT가 2300만명의 가입자를 보유한 국내 1위의 이동통신사일뿐 아니라 SK그룹이라는 재계 2위 그룹의 주요 계열사기 때문이다. 소중한 개인정보를 든든하게 지켜줄 것이라 믿었던 거대 통신사에 대한 국민의 믿음이 무너지고, 내 정보를 믿고 맡길 곳이 단 한 군데도 없을 수 있다는 허탈감에 가슴이 아린 것이다.
통신사 해킹과 개인정보 유출 사건은 이번이 처음이 아니다. 2010년 이후 이동통신 3사 모두 해킹과 개인정보 유출로 인해 큰 곤혹을 치렀다. KT에서는 2012년 약 870만명의 성명, 주민등록번호, 전화번호 등의 가입자 정보가 유출되었고, 2014년에는 1200만명의 성명, 주민등록번호, 계좌번호가 해킹되기도 했다. LG유플러스에서는 2023년 약 30만명의 성명, 생년월일, 전화번호, 주소, 이메일, 단말기 기종, 유심 정보 등이 해커에게 탈취되기도 했다.
해커들이 높은 보안수준에도, 통신사를 타깃으로 삼는 이유는 자명하다. 통신사는 금융기관과 더불어 가장 정확한, 최신의 개인정보를 보유하고 있기 때문이다. 즉, 해커 입장에서 '돈이 되는' 정보라는 얘기다. 특히 스마트폰만 있으면 인터넷 뱅킹, 주식 투자, 가상자산 거래에 이르기까지 거의 모든 유형의 금융거래가 가능하기 때문에 해커에게 통신사는 가장 '탐나는 표적'일 수밖에 없다.
그렇다면 통신사에서 심각한 사고가 반복되는 이유는 무엇일까? 경영진의 보안에 대한 인식 부족과 단기실적 중심주의가 그 원인이다. 통신사의 경영진 중 보안의 중요성을 말하는 이는 많지만, 장기적인 관점에서 보안을 투자로 실행하는 이는 드물다. 보안 이슈는 사고가 발생했을 때만 주목받을 뿐, 이에 대해 지속적으로 관심을 가지고, 해결책을 강구하는 경영진이 없다는 의미다. 이는 최고경영자가 보안에 대해 잘 알지 못할 뿐더러, 보안의 중요성을 최고경영자에게 설파할 힘있는 임직원이 없다는 얘기이기도 하다. 보안 담당 임원(CISO)이 말단 초임 임원인 회사에서는 더욱 그러하다.
보안은 '수익'이 아닌 '비용'으로 인식되는 탓에 단기 실적이 강조되는 기업에서 보안에 대한 투자는 엄청난 저항에 부딪히곤 한다. 즉, 장기적으로 거액의 투자가 요구되는 보안에 대한 기초 다지기는 뒷전으로 미루게 되고, '내 임기 중 사고만 나지 않으면 된다' 식의 임시 처방만 반복되고 있다. 이는 기업지배구조와 경영평가체계의 구조적 한계에서 비롯된 문제다. 최고경영자조차 단기 실적으로 평가받기 때문이다.
따라서 국민의 안전과 직결된 보안 이슈에 대해서는 국가의 개입과 규제가 불가피하다. 매출 또는 순익의 일정금액 이상을 보안에 투자하도록 하고, 보안 담당 임원과 책임자의 자격기준을 갖추도록 하는 등의 규제가 요구된다. 얼마 전 개인정보보호법 개정으로 인해 일부 기준은 마련되었지만, 보안 전반에 대한 사항은 미흡하기 그지없다.
한해 보안에 수백억원을 투자하는 대기업조차 속수무책으로 당하는 현 상황에서 근본적인 국가 보안 관리체계에 대한 재정비가 시급하다. 이번 SKT 해킹 시 내부 침투경로로 활용된 BPF(Berkeley Packet Filter) 도어 기반 악성코드는 기존의 방화벽이나 백신 등 기존 보안체계로는 탐지가 불가능하기 때문에 더욱 그러하다. 이제는 사후 대응 위주의 보안 정책에서 벗어나, 위협 인식과 선제 탐지를 기반으로 한 사전 예방형 보안 체계로의 패러다임 전환이 필요하다.
AI 기술의 발전은 'AI를 위한 보안'(Security for AI)과 '보안을 위한 AI'(AI for Security)의 두 가지 화두를 이끌어 내고 있다. AI에 기반한 딥페이크가 허위사실 유포, 합성 음란물 제작과 같은 심각한 문제를 유발함은 물론, 소규모 언어모형(sLLM)을 활용한 해킹이 증가하고 있기에 AI 시대에 최적화된 보안이 요구된다. 한편으로는 생성형 AI를 활용해 타겟 데이터를 생성하고, 이를 보안 알고리즘의 향상의 도구로 활용하는 사례도 등장하고 있다. AI가 보안을 위한 첨병으로 활약하는 것이다.
AI의 발전과 보안은 이제 뗄 수 없는 관계다. AI 보안이 뒷받침되지 않는다면, AI 강국 도약은 공허한 구호에 불과하다. 더 이상 한국인의 개인정보가 세계의 공공재처럼 떠돌지 않도록, 정부 차원의 강력하고 실효성 있는 보안 가이드라인 마련이 시급하다.
황보현우 서울대 산업공학과 객원교수
