SKT 해킹 사건 이후 발생할 수 있는 일들

오늘도 뉴스에는 SKT 해킹 사건에 대해 말들이 많다.

하지만 언론에서는 SKT 해킹 사건에 대해 SKT 입장을 대변하는 기사들 뿐이어서 답답했다.

 

"복제폰 너무 걱정 마세요"…정부 조사단 "SKT 유출정보 중 IMEI 없다"

뉴시스 기사 제목이다. 

너무 SKT 해킹 사건에 대해 별거 아니라는 뉘앙스의 기사 제목이다.

 

그래서 방문자도 별로 없고 듣보잡 블로그이지만 SKT 해킹 사건의 심각성과 이 후 발생할 수 있는 사례에 대해 간단히 말하고자 글을 써본다.

듣보잡 블로그지만 사실 블로그를 운영하는 입장에서(사실상 방치, 개인적인 기록 보관용 블로그다) 글 하나 쓰려면 최소 1시간부터 길게는 몇일동안 고민하며 글을 올린다.

나름 최대한 고민하고 생각을 하며 글을 쓴다는 말이다.

 

 

1. SKT 해킹으로 유출된 정보 : 조사단 확인 결과, 이번 SK텔레콤 서버 해킹으로 유출된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종 등이다.  <<-- 뉴시스 기사 내용중 일부 인용

일단 글을 쓰고 있는 2025년 4월 29일 현재까지 알려진 정보다.

- 가입자 전화 번호

- 가입자 식별키(IMSI)

알려진 유출된 정보는 총 25가지인데 언론등을 통해 공개된 건 2가지 밖에 없다.

나머지 23가지 정보는 공개를 못할 다른 이유가 있는지 답답하다.

SKT 대기업의 입장보다는 정보 공개가 가능한 범위내에서 최대한 공개를 하여 예방할 수 있는 피해는 대처할 수 있어야 하는데 너무 정보를 통제하는 느낌이다.

 

 

2.  SKT 해킹 사건으로 인한 피해 : 언론에서는 SKT 해킹에 대처를 하려는 SKT 입장을 대변하는 느낌이다.

유심(u-sim) 교체하고 유심보호서비스 가입만 하면 추가로 피해 발생은 없을거다. 그러니 안심해라. 딱 이정도??

 

씨X  당장 우리 어머니, 아버지만해도 오늘 아침 7시 30분부터 SKT 대리점 앞에서 줄서서 번호표 받아 오후 2시에 유심(u-sim) 교체를 받았다.

SKT 해킹 사건으로 발생하는 SKT 고객들의 금전적, 시간적, 정신적 피해는 생각 안하냐???

무려 2,300만 가입자다.

가입자당 각각 유심(u-sim)교체로 인해 하루 7시간의 시간을 소비를 했다면 2,300만 가입자면 총 161,000,000 시간이다.

일로 환산하면 6,708,333일이고 년으로 환산하면 18,379년이다.

이를 최저 시급으로 계산을 하면 1,614,830,000,000원이다. 1조 6148억원이다.

 

1차적인 단순 계산을 해도 SKT 해킹 사건으로 인해 발생한 대한민국 경제 피해가 1조 6148억원이 넘는다.

물론 이건 그냥 머리에 떠오르는대로 계산한 단순 예시다.

실제로 유심(u-sim) 교체에 따른 실제 시간은 이보다 더 오래 걸릴거고, SKT 해킹 사건에 대한 불안감에 뉴스를 보는등 시간 소비, 유심(u-sim) 교체 이후 발생할 수 있는 피해등을 감안하면 이보다 비교할 수 없는 훨씬 큼 금액일거다.

 

 

3. SKT 유심(u-sim) 교체 이후 발생할 수 있는 현실적인 예시

일단 알려진 유출된 정보는 2가지이다.

- 가입자 전화 번호

- 가입자 식별키(IMSI)

나머지 23가지 정보는 공개되지 않다.

 

일단 전문가가 아닌 일반인 입장에서 이로 인해 발생할 수 있는 피해가 발생할 수 있을까? 생각을 해봤다.

물론 관련된 IT 보안 관련자 입장에서는 좀 더 넓게 생각할 수 있겠지만 적절하지 않다 생각한다.

 

가입자 식별키(IMSI) : MCC(이동국가코드) + MNC(이동네트워크코드) + MSIN(가입자식별번호) = 가입자 식별키(IMSI) 이다

실제 정보는 다르지만 쉽게 설명하기 위해 국제전화번호를 예시로 설명을 한다.(실제 정보값는 다르다.)

MCC(이동국가코드) : 대한민국의 국제 전화번호는 0082 이다. 

MNC(이동네트워크코드) : 예전 011(SKT), 016(KT), 019(LG U+) 와 같은 이동통신사 구분 값이다.

MSIN(가입자식별번호) : 이용자에게 부여된 고유 번호다

예를 들어 010-1111-2222 홍길동 사용자에게 해외에서 전화를 걸려면 0082+010+11112222를 입력해야 한다.

0082 = MCC(이동국가코드), 010 = MNC(이동네트워크코드), 11112222 = MSIN(가입자식별번호) 가 된다.

(실제 부여되는 정보값은 다르며 이해를 위한 예시이다.)

 

가입자 식별키(IMSI)의 경우 유심(u-sim) 교체를 하면서 MSIN(가입자 식별번호)를 새로 발급하면 해결되는 문제이다.

MSIN(가입자 식별번호)는 가입자에게 부여된 전화번호와 다르다.(위 설명은 이해를 위한 예시이다.)

 

그럼 유출된 정보들 중 공개된 정보는 가입자 전화번호이다.

자 그럼 내가 해커이거나 해커로부터 유출된 정보를 취득한 범죄 조직이라면 무엇을 할까?? 범죄자의 입장에서 생각을 해보겠다.

 

지금까지 대한민국 해킹 사례들은 나열하기 너무 많아 위키 백과에서 정리한 내용을 링크로 대체를 한다.

 

https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD%EC%9D%98_%EC%A0%95%EB%B3%B4_%EB%B3%B4%EC%95%88_%EC%82%AC%EA%B3%A0_%EB%AA%A9%EB%A1%9D

대한민국의 정보 보안 사고 목록 - 위키백과, 우리 모두의 백과사전

 

한번 쭉 봤는데 많은 사례들이 업데이트가 되어 있지 않음에도 놀라울 정도로 많다.

개인적으로 최근 몇년 사이에 해킹되거나 전산 오류가 발생했을거라 생각하는 기업도 빠져있고 

언론에 노출된 많은 사례들도 누락되어 있음에도 많다.

 

이에 대한 정부의 처벌로 대기업의 입장에서는 까짓거 뭐 할정도 솜방망이 처벌이고 

그러다보니 해외 해커들 사이에서는 대한민국 공공기관이나 대기업 서버들이 튜토리얼 과정으로 연습용 과정으로 취급되고 해킹 시도가 빈번하다.

 

이걸 왜?? 이야기 하냐 싶겠지만 대한민국 국민들의 이름, 주민등록번호, 주소, 전화번호등 개인정보들이 해커들 사이에서는 공공재 자료이다.

이에 대한 내용은 인터넷에서 검색하면 나오는 언론사 기사로 대체를 하겠다.

 

https://news.mt.co.kr/mtview.php?no=2024020720501189433

"한국인 것은 널렸다" 떨이 판매…'다크웹' 올라온 개인정보 충격 - 머니투데이

 

예전 XX 에서 고객 정보를 유출해서 팔았는데 판매 가격 책정을 1명당 10원으로 계산했다는 내용이 떠오른다.

 

자 각설하고 

이렇게 쌓이고 쌓인 대한민국 국민의 개인정보 데이터는  여러가지 이유로 사용할 수 없는 더미 데이터가 있고 사용할 수 있는 데이터로 구분해야 가치가 있다.

그럼 사용할 수 있는 데이터를 구분하려면 어떻게 해야 할까?

이번에 유출된 SKT 해킹 데이터 중 전화번호를 가지고 기존 쌓이고 쌓인 대한민국 개인정보 데이터에 매치하는 것이다.

물론 전화번호만으로는 100% 신뢰를 할 수 없겠지만 공개되지 않은 23가지 정보에 가입자 이름이나 주민등록번호와 같은 정보가 있고 이를 조합하여 매치 작업을 한다면 해당 당사자는 해킹이나 금융 사기 범죄등에 1순위 번호표를 부여받고 작업 당할 수 있는 1순위라는 말이다.

 

생각만 해도 현기증 난다.

 

 

마지막으로 대한민국 정부도 당장의 SKT 해킹 사건을 전체 매출의 3% 과징금 부여보다는 그동안 수많은 해킹 사건, 보이스피싱 피해뿐만 아니라 앞으로 발생할 수 있는 사고에 대해 진지하게 생각하고 실행해야 하지 않을까 싶다.

 

최소한 3가지는 바뀌어야 하지 않을까 생각한다.

 

1. 주민등록번호 전면 교체 : 유출되고 유출되고 유출된 이제는 비밀 아닌 비밀인 대한민국 국민들 주민등록번호 전면적으로 교체를 해야 한다고 생각한다.

또한 미국의 사회보장번호 제도와 같이 함부로 기업들이 주민등록번호를 요구하지 말고 이를 대체할 수 있는 방법에 대해 고민을 해야 할 것이다.

또한 공공기관(동사무소와 같은 정부기관)에서도 개인정보 조회시 절차 강화와 누가 열람을 했는지 기록을 철저히 하고 문제가 없는지 정기적으로 감사를 해야 할 것이다.

성착취 영상물을 제작하고 유포한 조XX 범행의 경우 동사무소에서 근무하는 공익 요원이 개인정보를 유출했다는 사실은 알사람들은 다 알 것이다.

공무원들이 공익 요원들에게 일하기 싫어 일을 떠넘겨 발생한 사건이다.

이 외에도 경찰이 업무와 관련없는 개인정보 조회를 하여 유출한 사건들도 많다. 어질어질 현기증이 난다.

 

2. 010 으로 통일된 이동통신사 식별 번호를 기존과 같이(011, 016, 019등) 분리를 하여 운영해야 한다.

뭐 말도 안되는 이유로 010으로 통합했지만 이용자인 대한민국 국민을 위한다면 이동통신사 식별 번호를 분리를 하여 번호를 늘려야 하지 않을까 싶다.

이론적으로는 대한민국 전국민이 이용해도 충분해야 하지만 현실은 그렇지 않다.

스팸문자, 광고 전화가 지겨워 새로운 번호로 신규 가입을 하고자 해도 기존 사용자가 사용했던 번호이기 때문에도 스팸문자, 광고 전화 지겹게 받는게 현실이다.

또한 이용자 대부분이 번호이동등으로 이동통신사를 바꾸더라도 사용중인 번호를 그대로 유지하지만 해킹 사건등으로 불안감을 느끼는 사용자에게는 사용되지 않은 새 번호 부여, 혹은 몇년이상 사용되지 않았던 번호를 부여등 사용자 우선이 되는 정책이 필요하다.

 

3. 이번 SKT 해킹 사건으로 언론에는 "SK텔레콤에 최대 5300억원에 달하는 과징금이 부과될 것으로 전망된다. 개인정보보호법은 전체 매출액 중 최대 3%를 과징금으로 부과할 수 있다고 규정하고 있다." 라고 한다.

 

2300만명의 고객의 피해는??

서론에도 언급했지만 SKT 이용 고객 2300만명의 시간적, 물리적, 정신적 피해를 금액으로 정확히 계산을 할 수 없지만 5300억보다는 비교할 수 없을 것이다.

또한 과징금 5300억은 국고로 갈 뿐 SKT 이용고객 2300만명의 피해 보상은 아니다.

 

대한민국 정부는 앞으로 계속될 해킹이나 보이스피싱등 범죄를 예방 차원에서라도 고민을 하고 대책을 만들어야 할 것 이다.

 

 

 

-끝-