대한민국 국민 전체의 개인정보를 갖고 있는 통신 3사가 법으로 의무화 돼 있는 주민등록번호를 제외한 나머지 개인정보를 암호화하지 않아 해킹 발생 시 개인 정보 유출에 취약할 수밖에 없다는 지적이 나온다. 현행법상 의무 암호화 대상은 아니지만 가입자 식별키(IMSI)와 단말기 고유식별번호(IMEI) 등 유출됐을 경우 복제폰 제작에 이용될 수 있는 민감한 데이터도 암호화 돼 있지 않아 통신 3사가 스스로 암호화 범위를 넓혀야 한다는 의견이 제시되고 있다.
20일 보안업계에 따르면 SK텔레콤을 비롯해 KT, LG유플러스 모두 IMSI와 IMEI 등 유심과 단말기 관련 정보를 암호화하지 않고 원본 그대로 서버에 저장해 온 것으로 나타났다. 가입자 이름, 전화번호, 주소 등 개인정보도 마찬가지다. 현행법상 암호화 해 보관할 의무가 없기 때문이다.
개인정보보호위원회 고시 '개인정보의 안전성 확보조치 기준'에 따르면 개인정보처리자가 암호화해 보관해야 할 정보로는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보 등 7가지만 명시돼있다.
통신 3사가 가입자들의 모든 데이터를 암호화 해 놓을 경우 해킹으로 데이터가 유출돼도 사용할 수 없게 된다. 원본 데이터가 아닌 암호화된 데이터만 외부로 반출되기 때문이다.
의무 항목에 한해서만 암호화 하는 이유는 비용과 통신 트래픽 문제 때문이다. 통신업체 관계자는 "IMSI와 IMEI를 암호화 할 경우 가입자들의 통화 연결을 위해 데이터 전송 시 매번 암호를 씌우고 이를 다시 푸는 과정을 거쳐야 하기 때문에 통신 트래픽에 영향을 줘 전체 통신 네트워크 속도가 크게 감소하고 비용도 늘어난다"고 설명했다.
현행 법에 규정되지 않은 부분까지 굳이 돈을 들일 필요가 있냐는 인식도 한몫한다. 류정환 SK텔레콤 부사장은 지난달 30일 국회 과학기술정보방송통신위원회(과방위)에 출석해 "네트워크 쪽은 암호화가 되어있지 않은 부분이 많다"면서 "유심 정보 암호화 관련 내용이 법령에 명시되어 있지 않았다"는 점을 들었다
보안 업계는 속도가 일부 감소하는 것은 사실이지만 사용자들이 체감하기 어려운 수준이라고 밝혔다. 미국을 비롯한 해외 통신사 일부는 주요 가입자 정보 상당수를 암호화해 사용하고 있는데 속도 저하 등 별 문제를 겪지 않고 있다고도 설명했다.
중앙대학교에서 IMEI와 IMSI와 같은 개인 식별번호를 암호화해 보관, 전송하는 실험을 진행한 결과 극히 미미한 수준의 속도가 감소한 것으로 나타났다.
이기혁 중앙대 융합보안학과 교수는 "실험 결과 속도는 10의 마이너스 26정도밖에 속도 저하가 없다"면서 "파일당 1바이트~2바이트 내지로 이는 체감할 정도도 아니다"라고 결과에 대해 설명했다.
버라이즌, AT&T와 같은 미국 통신사들 역시 IMEI는 민감정보지만 개인정보로 분류하지는 않는다. 네트워크 일부 구간에서는 암호화 없이 평문으로 전송한다. 그러나 데이터베이스에 저장될 때는 일반적으로 암호화 또는 접근이 통제된 환경에 저장을 한다. 해킹 시 이를 통해 개인 정보까지 유추할 수 있기 때문이다.
단말기 정보를 담고 있는 IMSI는 전송 중 강력한 수준으로 암호화를 필수로 한다. 5G 망에서는 IMSI를 절대 평문으로 전송하지 않도록 설계돼 있다. 앞서 미국 통신사 티모바일(T-Mobile)은 IMSI와 IMEI 등 개인 식별정보가 탈취당하면서 피해자들에게 약 5000억원의 합의금을 지불했다.
글로벌 통신사들의 경우 보안 사고 발생 시 징벌적 손해배상 제도에 근거해 천문학적인 배상금이 부과되는 일이 잦아 법으로 의무화 된 범위보다 스스로 암호화 범위를 넓혀 관리하는 곳이 많다.
전문가들은 우리나라 역시 법으로 의무화하지 않아도 유출됐을 경우 큰 피해가 예상되는 민감 정보에 대해선 통신사들이 스스로 암호화를 강화하고 보안 네트워크를 이용하는 등 관리 체계를 강화해야 한다고 말한다.
이 교수는 "중요한 식별 정보를 기본적으로 암호화하지 않고 저장하는 것은 관리 부실이다"라며 "개인 정보가 더욱 민감해지고 있는 만큼 개인식별번호까지 관리 대상에 포함해 관리 체계를 새로 만들어야 한다"고 말했다. "통신사는 전 국민의 개인정보를 갖고 있는 만큼 사명감을 갖고 일해야 한다"고도 했다.
정부 역시 안일하게 대응하고 있다는 지적도 나온다. 앞서 청문회에 참석한 유상임 과학기술정보통신부 장관은 개인 식별번호, 유심인증키 등이 암호화 안된 상태로 보관된다는 지적에 "IMSI 가입자 식별번호는 전 세계 이통사가 모두 필수로 암호화하지는 않고 있다"고 답변했다.
개인정보보호위원회는 과학기술정보통신부와 다른 의견을 내고 있다. 개인정보보호위원회 관계자는 "해외 기업들이 IMSI를 의무적으로 암호화하는지 여부는 이번 사태와 전혀 관련이 없다"며 "SKT가 충분히 보호장치를 하지 않아 해커가 침입했고 개인정보가 실제 유출됐는지 여부가 중요한 것"이라고 설명했다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
