[딜사이트경제TV 최지웅 기자] "SK텔레콤은 사이버 보안 위협에 대응하기 위해 해킹 공격 탐지·분석·차단 시스템을 구축해 24시간 365일 통합보안관제센터를 가동하고 있습니다."

SK텔레콤이 지난달 27일 공개한 지속가능경영보고서에 명시한 문구다. 더불어 해당 보고서에는 제로 트러스트 기반의 정보보안 고도화, 국내외 정보보안 인증, 정기적인 모의해킹 등 선진적인 보안 체계를 구축해온 결과 2022~2024년 사이 단 1건의 사이버 침해 사고도 없었다고 명시했다. 하지만 지난 4월 대규모 유심 해킹 사고가 터지면서 SK텔레콤이 그간 강조해온 선진 보안 시스템의 실효성에 대한 근본적 의문이 커지고 있다.

SK텔레콤은 2022년부터 2024년까지 고객정보 유출, 시스템 해킹, 디도스(DDoS) 침해 등 중대한 정보보안 사고가 단 1건도 발생하지 않았다. 같은 기간 디도스 공격과 개인정보 유출 등 다양한 유형의 보안 사고를 반복적으로 일으켰던 경쟁사와 대비되는 성과로 SK텔레콤이 철벽 보안 이미지를 쌓는 계기로 작용했다. 

하지만 단 한 번의 사이버 공격으로 이 같은 이미지에 큰 균열이 발생했다. 앞서 SK텔레콤은 지난 4월 해커의 악성코드로 인해 가입자 유심 정보가 유출되는 사고가 발생했다. 해당 사고는 단순한 개인정보 유출을 넘어 보이스피싱, 스미싱, 명의도용 등 2·3차 범죄로 이어질 위험이 크다. 무엇보다 휴대폰 명의 도용, 인증서 탈취 등은 피해자가 인지하기 어려워 피해 규모가 기하급수적으로 확대될 수 있다. 현재까지 2차 피해는 공식적으로 확인되지 않았지만, 민관합동조사단이 사고 원인과 피해 규모를 조사 중인 만큼 잠재적 위험은 여전히 상존한다.

이번 사고가 더욱 충격적인 이유는 2300만명의 가입자를 보유한 국내 1위 이동통신사 SK텔레콤의 정보보안 체계가 사이버 공격 앞에 한순간에 무력화됐다는 점이다. SK텔레콤은 현재 이사회와 ESG위원회의 총괄 아래 대표이사를 비롯한 최고운영책임자(COO), 정보보호최고책임자(CSPO) 등 주요 경영진이 전사 차원의 정보보호 리스크를 관리하는 정보보호 추진체계를 구축하고 있다. CISO는 정보보호 및 정보기술 분야에서 20년 이상 경력을 가진 인력을 선정했으며, 고객정보보호팀, IT보안팀, 사이버위협대응팀 등으로 구성된 정보보안 전담 조직도 운영 중이다. 아울러 고객이 신뢰할 수 있는 정보보호 수준을 유지하기 위해 정보보호관리체계(ISMS) 등 국내외 정보보안 시스템 인증을 다수 획득했다.

문제는 SK텔레콤이 자부해온 정보보안 체계가 정작 중요한 순간에 제대로 작동하지 않으면서 설득력을 잃어가고 있다는 점이다. 이에 3년 연속 사이버 침해 '제로'라는 무사고 이력도 체계적인 보안 역량이 아닌 외부 위협을 받지 않은 덕분이란 지적이 나오고 있다. 실제 사이버 공격이 발생하자 기존 보안 체계는 대응에 실패하며 허점을 드러냈기 때문이다.

이에 대해 SK텔레콤 관계자는 "지속가능경영보고서에 기술된 정보보안 체계는 우리가 법적으로 따라야 할 최소한의 조치와 노력을 보여주는 것"이라며 "우리가 '완벽하다'는 의미가 아니라, 할 수 있는 최선을 다하고 있다는 점을 알리기 위해 공시한 것"이라고 해명했다. 이어 "보안은 본질적으로 완벽할 수 없는 영역으로 글로벌 빅테크 기업들도 해킹 피해를 완전히 피할 수 없다"며 "SK텔레콤 역시 법적·기술적 기준을 준수하며, 추가적인 보안 강화 노력을 지속하고 있다"고 덧붙였다.