SKT 유심정보 유출 사태가 터진 지도 한달여가 다 되어간다. 국민들이나 정치권에서는 유심 교환, 유심안심서비스 가입 혹은 중도해지 수수료 면제 등이 첨예한 이슈였다. 이제 왜 유독 우리나라에서 이러한 주요 개인정보 유출 태가 자주 발생하는지 차분히 반추해 볼 필요가 있다.

SKT 유심사태에서 업계 종사자들이 가장 이해할 수 없는 부분이 왜 SKT 가 유심정보 같은 민감한 데이터베이스를 암호화를 해 놓지 않았느냐는 것이다. 우리가 편리하게 사용하는 인터넷은 전세계적으로 컴퓨터를 연결함으로써 연결과 소통을 제공하는 편리성을 제공한다. 동시에 데이터가 인터넷상에서 자유롭게 돌아다녀야 하기 때문에 필연적으로 보안에 취약할 수밖에 없다.

컴퓨터의 역사는 좀 더 빠르고 효율적으로 데이터를 주고받을 수 있는 환경을 만들어 가는 동시에 주고받는 데이터 중에 침입성 공격성 그리고 약탈성 데이터를 잡아내고 걸러내는 보안기술을 동시에 발전시킬 수밖에 없었다.

1등 통신사 유심 데이터 암호화하지 않아 충격적

보안업계는 우리가 알고 있는 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS) 그리고 데이터베이스의 암호화 같이 네트워크 보안기술을 발전시켜왔다. 문제는 모든 공격을 막아낼 수 있는 방화벽도 없고, 모든 해커 공격을 막아내고 탐지 할 수 있는 IPS·IDS도 이 세상에는 존재하지 않는다.

마치 영화에서처럼 아무리 비싸고 튼튼한 금고라도 결국은 시간만 있으면 다 열 수 있는 것과 같은 이치다. 이러한 가정이 있기 때문에 결국 중요한 데이터베이스에 대해서 암호화를 진행하는 것이다. 즉 탈취당한다 해도 풀 수 있는 암호키를 모른다면 그 훔쳐간 데이터를 못 쓰게 하는 것이 암호화 기술이다.

네트워크 보안기술에서 가장 필요한 부분인데 한국에서 가장 가입자가 많은 1등 통신사인 SKT가 유심 데이터같이 가장 민감한 개인정보에 대해서 암호화를 하지 않은 사실은 정말 충격이 아닐 수 없다.

이번에 유출된 유심 데이터는 SKT 가입자가 하루에도 수없이 사용하는 개인인증 데이터베이스와 연관없을 수도 있다. 하지만 보안의 기본중인 기본인 데이터베이스의 암호화를 해 놓지 않은 점은 기업의 비용절감이라는 핑계 외에는 다른 무엇으로도 설명되지 않는다.

평소 자주 소통하고 대화하는 외국계 보안기업의 기술 담당 임원은 항상 같은 불평을 말한다. “한국 기업들은 보안투자를 마치 낭비하는 것으로 여긴다”고. 이 마인드가 바뀌지 않는 한 한국에서 보안사고는 계속 발생할 것이라고 장담하기도 한다.

보안투자 낭비로 여기는 마인드 바뀌지 않으면 사고 계속될 것

대한민국의 모든 공무원 공공기관 공기업 등은 이러한 문제를 원천 차단하기 위해서 네트워크를 이중으로 사용한다. 즉 외부와 접속하는 망과 내부만 통신하는 망으로 나누어져 있고 그러다 보니 컴퓨터도 개인당 기본적으로 두 대를 사용하고 있다. 이러한 이중화 운영이 해킹을 차단하는 효과적인 수단이기는 하지만 아이러니컬하게도 보안기술의 낙후화를 야기할 수밖에 없는 구조적 문제를 갖고 있다.

미국이나 중국은 글로벌 클라우드 서비스를 하면서 수 없는 외부 공격, 해킹을 막아내 가면서 보안기술을 고도화해 나가고 있는데 한국은 상대적으로 안정적인 이중구조를 만들어 놓으니 보안기술의 발전에 오히려 저해요소로 작용하고 있는 것이다.

과학기술정보통신부의 발표에 따르면 이번 사건의 기술적 전모는 6월 말에나 밝혀진다고 한다. 시간은 들여도 좋지만 이번 기회로 보안규정의 고도화, 보안기술의 경쟁력 강화라는 중요한 과제를 함께 짚어야 할 것이다.

차정훈 전 중기부 창업벤처혁신실장