SK텔레콤 해킹에 대한 고찰(생각)
SKT 해킹 사건을 접한지 몇일이 지났고 나름 IT 보안 관련 업계에서 일했던 입장에서 생각 좀 정리를 하니 언론에 알려진 내용보다 심각할 거 같은 상황이어서 최대한 간결하게 어려운 용어를 자제하며 글을 써본다.
나도 내일부터 SKT를 이용중이신 부모님을 대신하여 대리점 오픈런 해야 할 거 같다.
지금 대한민국이 난리가 났다.
국내 이동통신사 1위 사업자인 SKT 해킹으로 유심(u-sim) 교체 관련해서 난리다.
지금까지 알려진 정보로는
1. 해킹 피해자 : SKT를 이용중인 고객
2. 해킹 범위 : SKT 가입자 유심 고유식별번호등 일부 정보라하지만 SKT에서는 4월 18일 해킹을 인지하고 나서 10일이 지났지만 어디까지 정보가 털렸는지 자세한 정보는 알려진 바 없다.
3. 대처 방법 : 지금 SKT에서는 글을 쓰는 오늘부터(2025년 4월 28일) 무료로 유심(u-sim) 교체를 하겠다고 한다.
일단 언제 가능할지 모르겠으나 최대한 빨리 유심(u-sim)을 교체를 받자
유심(u-sim)은 스마트폰 사용을 위한 신분증이라고 생각하면 된다. 기존 신분증을 폐기를 하고 새로운 신분증을 발급 받는다 생각하면 적당한 예시려나??
본인의 스마트폰이 최신형 스마트폰이라면 이심(e-sim)을 지원하는 스마트폰이라면 이심(e-sim)으로 등록하고 사용하자.
(본인 스마트폰 제조사와 SKT에 문의를 하여 이심(e-sim) 지원 여부를 꼭 확인하고 진행해야 한다.)
유심(u-sim)만 기다린다면 유심(u-sim)을 생산하는 협력사 3교대로 돌려도 SKT 가입자 전부 교체할 물량을 생산하려면 단순 계산상 6개월 걸린다.
유심(u-sim), 이심(e-sim)를 새로 교체를 했다면 SKT에서 공지한대로 유심보호서비스에 가입하고 앞으로도 계속 불안한 마음을 가지고 스마트폰을 사용하면 된다.
왜?? 나는 유심(u-sim) 교체가 끝이 아니라고 생각한다.
4. 이 후 발생할 수 있는 사례 : 이 내용이 이 글을 쓰는 이유이다.
대한민국은 수십년간 크고 작은 해킹, 기업의 개인정보 관리 소홀, 판매로 수많은 개인정보가 유출이 되어 있다.
좀 심하게 비약하자면 대한민국 전 국민의 주민등록번호등 개인정보는 해외 해커들 사이에서는 공공재로 사용이 되고 있다.
한국인 주민등록번호, 휴대전화번호등이 담긴 문서가 1명당 10원에 팔리고 있다는 웃지 못할 이야기가 공공연한 비밀 아닌 비밀이다.
현재 SKT 발표로는 HSS 서버가 해킹이 되었고 SKT 가입자 유심 고유 식별번호 외 일부 정보가 털렸다고 알려져 있다.
어디까지 털렸는지 모르겠으나 복잡한 이야기는 빼고 최소한 HSS 서버면 SKT 가입자의 휴대전화 번호 정보는 털렸다는 말이다.
자 그럼 내가 해커라면 다음 무엇을 할까??
해외에서 공공재로 사용되는 대한민국 국민의 개인정보 문서에 SKT 해킹으로 유출된 휴대전화번호를 매칭할 거 같다.
(기존 해킹등으로 유출된(판매된) 대한민국 개인정보에서 살아 있는 활용 가능한 최신 정보 업데이트 개념)
휴대전화번호를 매칭하여 일치하는 자료는 보이스피싱이나 여러 범죄에 최우선 순위로 번호표를 받지 않을까 싶다.
그 외에도 여러가지 악용할 방법들이 생각나는데... 이 모든 생각을 글로 쓰는건 상당히 논란이 있을 거 같다.
뉴스에서는 최근 SKT 가입자가 전화가 먹통이 되어 SKT 고객센터에 문의를 하니 사용중인 휴대전화번호가 KT알뜰폰으로 번호 이동이 되었고 그 사이 1,000만원씩 5번 인출되어 총 5,000만원의 피해가 발생했다는 뉴스가 나왔고, 경찰은 이번 사건이 SK텔레콤 서버 해킹이나 유심 정보 유출과 무관하며 아직까지 발생한 피해가 없다고 한다.
그리고 SKT는 지난 25일 기자회견에서 “해킹 관련 실제 유출 피해는 나지 않았다”고 하는데 정말??? 믿어도 될까 의심스럽다.
그동안 대한민국은 크고 작은 개인정보 유출에 대해 너무 관대했다.
그러다보니 기업에서는 보안에 소홀하고 무방비한게 아닌가 싶다.
개인적인 추측으로는 언론사에는 공개되지 않았지만 A사나 N사, D사, F문고등등 해킹이나 전산 오류등이 발생하지 않았을까 생각한다.
정황이나 몇가지 일들이 반복되어 의심되어 문의를 했으나 고객센터에서 저희 해킹됐어요. 전산 오류가 발생했어요. 하고 인정하지 않을거니..뭐...
보이스 피싱이나 금융 사기, 금융 사고 피해는 내가 처음 접한 것이 1995년도이고 이후 계속 꾸준히 언론을 통해 보도가 되었고 언론에 알려지기 전에 조용히 처리를 하는 경우를 종종 봐왔다.
이제는 아직도 저렇게 당하는 사람들이 있구나.. 싶을정도로 계속 끊임없이 피해가 계속 발생하고 있다.
이제는 정부나, 경찰, 기업들 믿지 말고 내 개인정보를 지키기 위한 최소한의 노력은 스스로 해야 하지 않을까 싶다.
정부도 이제는 해외 해커들의 공공재가 되어버린 대한민국 국민들의 주민등록번호를 새로운 방식으로 변경해야 하지 않을까??
새로 발급 받은 번호는 미국의 사회보장번호와 같이 기업들이 쉽게 수집하지 못하게 관리와 책임을 물게 해야 한다.
또한 해외에서 보기 힘든 010 통합번호도 기존과 같이 혹은 이동통신사마다 식별번호를 복수 소유 할 수 있게 하여 대한민국 국민들의 스팸문자메세지 지옥에서 어느 정도 벗어날 수 있는 자유를 보장해야 하지 않을까 싶다.
신규가입을 해도 기존 번호 사용자가 받던 스팸 메세지들을 그대로 받으니 대한민국 국민들은 스팸메세지가 지겹다.
그리고 글을 읽는 사용자도 해킹에 대한 피해가 두렵다면 다소 번거롭더라도 본인 스마트폰에 주민등록증, 운전면허증, 통장 사본, 그외 사생활에 대한 내용들은 지워야 하지 않을까 싶다.
많이 번거롭겠지만 카드나, 은행 통장도 해킹이 의심스럽다면 변경해야 하지 않을까 싶다.
실제로 당근 같은 중고거래로 스마트폰 거래를 하다보면 의도치 않게 스마트폰을 초기화 하지 않고 거래를 하는 경우가 있다.
- 당근에서 V30을 구매했을 때 주민등록증, 운전면허증, 사업자등록증, 통장사본등이 저장된 것을 발견했었고 판매자에게 이런 내용을 말하고 V30을 초기화 한적이 있었다.
- 그 뒤 당근에서 갤럭시 노트20 울트라를 구매한 적이 있는데 스마트폰은 초기화 했으나 스마트 폰에 삽입된 마이크로 SD 카드를 제거하지 않아 각종 사생활 사진, 이름만 말하면 다 알만한 대기업 신제품 발표 문서등, 바디 프로필 사진...(ㅎ ㄷ ㄷ) 등을 발견하고 판매자에게 알리고 마이크로 SD 카드를 반으로 접어 폐기한적이 있었다.
우연하게도 민감한 정보가 담긴 사실을 판매자에게 알렸으나 두 판매자 모두 초기화 해주세요. 삭제해주세요. 하고 끝이었다.
내가 착해보였나??? 당장 찾아와 직접 초기화, 삭제해도 복사하지 않았을까? 의심스럽고 두려울거 같은데...너무 안일하게 생각하고 사는거 같다.
마지막으로 SKT에 대한 비난 좀 하고 이글을 마무리 하고자 한다.
해킹 사고를 인지하고 무려 10일이 지나고 나서....그동안 뭐했니??
(해킹이 언제 털렸는지 얼마나 털렸는지 SKT가 공개하기 전까지는 일반인들은 몰라서 SKT의 발표는 신뢰가 안간다.)
중요한 관리 대상자들 먼저 교체해주고 일반 고객은 이제부터 니들도 해줄께. 이런건가??
유심이 부족하고 대기 시간 길어도 일반 고객님들은 기다리세요. 이런건가??
음..그래도 소비자를 위한다면 당장 부족한 유심(u-sim)을 대신하여 최신 스마트폰에 내장된 이심(e-sim)을 활용하여 기존 유심(u-sim) -> 이심(e-sim)으로 변경 -> 추후 유심(u-sim)물량 부족이 해결되면 유심(u-sim) 전환이라는 방법도 고민해야 하지 않을까??
이심(e-sim)으로 변경만 지원 및 안내를 하면 상당히 많은 최신 스마트폰 사용하는 SKT 고객들을 안심시킬 수 있지 않을까 싶다.
하지만 뉴스를 봐도 이심(e-sim)에 대한 언급은 없다. SKT도 바보가 아닐텐데..뭔가 알려지지 않은 내용이 또 있는건가??
이와 별도로 유심보호서비스를 지원하고 그래도 피해가 발생하면 100% 책임지겠습니다. 라는데...유심보호서비스 가입 안한 고객은 피해가 발생하면 책임 안질거야???
지금 현재 뉴스에 의하면 SKT대리점에서 당근에서 유심(u-sim)을 당근에 팔다가 당근에 의해 글이 삭제가 되었다.
신규개통건을 빼돌려 판매를 한다고 나와 있는데...신규개통용 유심(u-sim)은 따로 관리하는건가?? 어이가 없네..
그리고 가입자 이탈로 인해 SKT로 번호 이동하는 고객에게 보조금을 확대했다는 뉴스도 보인다.
이럴 돈 있으면 유심(u-sim) 생산업체에 지원하고 유심(u-sim) 생산을 독려해야 하는거 아닌가??
SKT 홈페이지 팝업 공지를 보면 희망하는 고객들을 대상으로 유심교체를 무료로 진행합니다.
유심 교체도 철저히 준비할 테니 ~~ 라는 내용과 말미에 사이버 침해 사고로 인해 고객 불편을 끼쳐드린 점에 대해 다시 한번 사과드립니다. 라고 써있는데 이미 LG U+ 에서 같은 사례가 있었고 LG U+에서는 유심(u-sim)을 택배 배송하는등 당장의 손해보다는 적극적인 대처를 했다.
가입자 수에서 비교할 수 없겠지만 1위 사업자의 대처 방법이라고 하기에는 두고 두고 논란이 될 거 같다.
팝업 공지를 읽어보면서 사과의 말은 없네?? 하며 꼼꼼히 읽어봤는데 말미에 짧게 적혀있는데 SKT 해킹 사건을 사이버 침해 사고로 명시하는 등 진정성이 없어보인다.
또 다른 뉴스가 올라왔다.
MBC 뉴스이며 해킹되어 유출된 자료의 데이터 양이 9.7GB = 9,700MB 라는 엄청난 데이터가 유출됐다는 거다.
소설책 한권의 이북(전자책) 용량이 보통 20MB 정도다.(표지만 그림 그 외는 텍스트 구성 기준)
이북(전자책) 기준 대략 485권 분량이며,
유출된 개인정보 범위를 알 수 없기에 한페이지당 가입자 1명의 개인정보라 가정하고 의미없는 한글을 빈공간없이 문서로 작성할 경우 대략 4400만 페이지가 나온다.
MBC 뉴스의 발표가 사실이고 SKT HSS 서버에 어떠한 정보가 저장되는지 정확히 알 수 없지만 아...답이 안나온다..
일부에서 유심(u-sim) 교체 이후에도 SKT 해킹 범위에 따라 안심할 수 없다는 말이 나오는데....개인적인 생각으로는 SKT 내부 협력자가 있다면 유심(u-sim)을 교체해도 추가 피해가 충분히 발생할 수 있다 생각한다.
지금으로서는 번호이동으로 통신사를 옮기는게 답인가 싶지만 KT도 만만치 않은 사건 사고에 개양아치같은 기업이라..
LG U+는 하....믿음이 안간다.
아 어질어질하다. SKT 대표이사님 빠따 좀 맞아야 겠다.
그리고 스마트폰을 사용하는 사용자라면 스마트폰에 APP을 무분별하게 설치하지 말자.
외국의 경우 개인정보 보호에 상당히 신경을 써서 필요 이상의 권한 수집을 못하게 한다.
하지만 한국의 경우 고민없는 앱개발로 필요 이상의 무분별한 스마트폰 권한에 접근하여 개인정보를 수집할 수 있다.
예시로 음악을 감상하는 앱의 경우
필수항목에 전화번호 수집 항목이 있다.
선택의 경우 카메라 항목도 있다.
필수항목인 전화번호 수집의 경우 몇년전에는 아무런 설명도 없이
필수항목 전화 걸기, 전화번호부 이런식으로 통보만 하였다. 전화번호부 접근 권한은 왜 요구를 하는건지...수집해서 스팸 문자 보내거나 마케팅에 활용할려고??(기업 이름은 공개하지 않지만 이와 관련하여 사례가 많은 대기업이다.)
2025년 현재 변경된 점은 없는지 앱을 설치를 하여 확인하니
필수항목 전화번호 수집
회원가입, 휴대폰 인증, 전화번호 로그인 이용시 기존 회원가입 여부 및 통신사 부가 서비스 가입 여부 확인 이라고 기제가 되어 있다.
권한 거부시 어플이 종료됩니다. 라고 기제되어 있고 거부시 앱 실행도 안된다.
해외 유사 앱에서는 이런 권한을 요구하지 않는다.
대신 서비스를 제공하기 위한 최소한의 정보만 요구를 한다(이메일 정도..그렇지 않은 해외 앱도 있다.)
순수 저장된 음원을 재생하는 앱의 경우 저장공간에 대한 권한만 요구한다.
통신사에서 제공 및 운영하는 앱이라지만 다른 방법으로도 유연하게 서비스할 수 있는데 너무 과도한 권한을 요구하는게 아닌가 싶다. 대기업이면 이용자에 대한 개인정보보호를 위해 좀 더 고민하여 최소한의 권한, 정보만 수집해야 하지 않을까?
이건 예시이며 다른 앱에서도 전혀 관련없는 권한들을 무지성으로 요구하는 앱들도 많다.
- 끝 -