[통신 칼럼] SKT 유심 유출 사태, 안일한 보안투자가 해커 불렀다 > 리뷰칼럼

문제의 발단은 4월 19일, SKT 내부 시스템에서 감지된 비정상 접근이었다. SKT는 한국인터넷진흥원(KISA)과 개인정보보호위원회에 각각 4월 20일과 22일에 신고했지만, 정작 소비자 통지는 25일부터 시작되었고, 그마저도 초기 160만 건에 불과했다. 이후 확대 통보를 약속했지만, 500만 명 규모라는 수치는 여전히 턱없이 부족하다.

사태가 터진 직후, SKT는 ‘유심보호서비스’와 ‘유심카드 교체’라는 대응책을 내놨다. 하지만 현실은 고객 불편으로 점철됐다. 보호 서비스는 해외 로밍 제한이라는 제약을 달고 있으며, 유심 교체는 재고 부족으로 일선 대리점에서 줄을 서야 했다. 해킹 피해를 입은 소비자가 통신사를 옮기려 했더니, 위약금까지 물어야 하는 코미디 같은 상황도 벌어졌다. 일반 휴대폰 판매점들 역시 유심 교체 문의로 장사가 안돼 손님은 손님대로 떨어져 나가고 통신사 해지 고객들로 인해 위약금까지도 토해내게 생겼다.

SKT는 “보안 투자에 소홀하지 않았다”고 주장한다. 그러나 2024년 기준 보안 투자 금액은 SKT 600억 원, SK브로드밴드 267억 원으로, 총 867억 원 수준이다. 이는 LG유플러스보다 약간 많고, KT보다는 적다. 매출 대비 투자율은 0.4~0.5%. 유출 사고가 없었다는 이유로 예산을 감액한 SKT의 행태는, ‘사고가 없으니 괜찮다’는 안일한 인식을 그대로 보여준다. 보안은 예측이 아니라 예방의 영역이다. 투자하지 않은 보안은 결국 투자보다 비싼 대가를 요구한다.

통신 3사 전체로 시선을 넓혀도 사정은 크게 다르지 않다. LG유플러스는 2018년 해킹을 2023년에야 인지했고, KT는 2014년 유출 사고 이후에도 보안 사고가 반복됐다. SKT 해킹이 단지 하나의 사소한 사고로 머물지 않는 이유다. 이번 사건은, 우리 사회가 얼마나 허술한 통신 보안 위에 위태롭게 서 있는지를 적나라하게 보여줬다.

그리고 간과해선 안 될 또 하나의 축이 있다. 관리·감독 기관의 무능이다. KISA는 사건 발생 시점을 ‘신고 시점’으로 슬그머니 바꿨고, 원격 현장 점검으로 책임을 대신했다. 보안 전문성이 부족한 정치권 낙하산 인사가 기관 수장으로 앉아 있다는 비판도 들린다. 기술과 위기 대응 능력이 필요한 자리다. 낙하산은 낙오를 부른다.

이번 사태는 단지 SKT 하나의 문제가 아니다. 통신 3사 모두에게 보내는 경고다. 그리고 국가적 보안 체계의 민낯이 드러난 순간이기도 하다. 소비자에게 불안을 떠넘기고, 책임은 미루는 구조를 언제까지 용인할 것인가.

통신 보안은 소비자의 권리이자, 기업의 의무다. 그리고 국가의 신뢰다. 지금 필요한 것은 사과가 아닌 구조적 변화다. SKT는 물론, KT와 LGU+도 이제 뼈를 깎는 자기반성과 점검에 나서야 한다. 실패한 보안을 고치는 건 피해자 몫이 아니다.