SKT 사태 1년…보안 거버넌스·인증 체계 대수술 - 메트로신문

2025년 4월 대한민국 통신 업계는 유례없는 충격에 빠졌다. 국가 기간 통신망의 한 축인 SK텔레콤에서 약 2695만 건에 달하는 유심(USIM) 정보가 유출된 사실이 정부 조사 결과 드러났기 때문이다. 사건 발생 1년이 지난 2026년 현재, 이 사건은 단순한 보안 사고를 넘어 국내 정보보호 인증 체계의 근간을 뒤흔든 '티핑 포인트'로 기록되고 있다. 14일 취재를 종합해보면 SK텔레콤의 유심 해킹 사고는 단일 기업의 보안 실패를 넘어 정부 인증 제도의 실효성과 책임 구조 전반에 대한 근본적 의문을 촉발한 것으로 나타났다. 메트로경제> 지난해 5월 과학기술정보통신부 민관합동조사단의 발표는 충격적이었다. 불특정 해커 조직이 이미 2022년 6월부터 SKT 서버에 'BPFDoor'라 불리는 정교한 백도어 악성코드를 심어뒀다. 이들은 대만 라우터를 경유해 감시망을 피하며 23대의 서버를 장악했고, 이름과 생년월일, 전화번호는 물론 단말기 고유 식별번호(IMEI)와 주민등록번호까지 수집했다. 특히 정부가 1차 조사에서 "문제가 없다"고 발표했다가 정밀 포렌식을 통해 2차 조사에서 결과를 뒤집으면서 국민적 불안감은 극에 달했다. 로그 기록이 삭제된 1년 반 동안의 정확한 유출 규모조차 파악하지 못한 채, SKT 가입자들은 유심 교체를 위해 대리점을 방문해야 했다. 당시 사건이 더욱 뼈아팠던 이유는 SKT가 국내 최고 권위의 보안 인증인 '정보보호 및 개인정보보호 관리체계(ISMS-P)'를 보유하고 있었다는 점이다. 당시 전문가들은 인증 제도 자체의 구조적 한계를 비판했다. 심사 시점의 보안 상태만을 확인하는 '스냅샷(Snapshot)' 방식의 심사로는 진화하는 해킹 기법을 막을 수 없다는 것이 증명됐기 때문이다. 당시 김승주 고려대학교 교수는 "정부가 ISMS-P 인증을 부여하고도 그 결과에 책임지지 않는 '보안 극장 효과(Security Theater)'가 구조적 모순을 낳고 있다"면서 "전문기관에 실질적 권한을 부여하되 법적 견제 장치도 병행해야 한다"고 지적했다. 사고 이후 1년, SKT는 '보안 재건'을 최우선 과제로 내걸었다. 가장 눈에 띄는 변화는 거버넌스의 전면 개편이다. 기존 네트워크 부문장 산하에 있어 목소리에 힘이 실리지 않았던 정보보호최고책임자(CISO)를 CEO 직속으로 격상했다. 외부 보안 전문가를 영입해 독립적인 권한을 부여함으로써, 성능과 비용에 밀려 뒷전이었던 보안 투자가 경영의 핵심으로 자리 잡게 했다. 자금 투입도 파격적이다. SKT는 향후 5년간 보안 분야에 총 7000억 원을 투자하기로 했다. 이는 사고 전보다 70% 이상 늘어난 규모다. 투자금은 인력 충원과 신규 보안 솔루션 구축은 물론, '제로 트러스트(아무도 믿지 않는다)' 원칙에 기반한 차세대 보안 체계 확립에 집중 투입되고 있다. 단순히 침입을 막는 것을 넘어, 모든 접속을 의심하고 검증하는 실질적인 기술 방어벽을 쌓기 시작한 것이다. 정부 역시 '보안 면죄부'로 전락했다는 비판을 받은 ISMS-P 인증 제도를 뜯어고쳤다. 2026년 4월 현재 시행 중인 새로운 인증 체계는 과거의 '서류 중심'에서 '현장 및 기술 중심'으로 완전히 탈바꿈했다. 정부는 우선 이동통신사와 같은 대규모 개인정보 처리 기관에 대해 ISMS-P 인증을 의무화했다. 인증 단계도 위험도에 따라 '강화·표준·간편' 3단계로 세분화했다. 특히 강화 인증 단계에서는 심사 과정에 실제 시스템을 공격해 보는 '모의 침투(해킹) 테스트'가 필수 항목으로 도입됐다. 서류상으로만 완벽했던 보안 체계가 실제 해킹 공격 앞에서 얼마나 견딜 수 있는지를 실증적으로 평가하겠다는 의지다. 또한, 인증을 한 번 받고 끝내는 스냅샷 방식에서 벗어나 인증 이후에도 상시 점검을 확대하는 사후 관리 체계를 강화했다. 침해 사고가 발생한 기업에 대해서는 심사를 즉시 중단하고 사고 원인을 철저히 분석한 뒤에야 재심사를 진행하는 등 인증의 권위를 바로세우는 조치들이 이어졌다. 송경희 개인정보위원장은 "사이버 공격이 고도화되는 상황에서 국민 피해를 예방하기 위해 ISMS-P 인증제도 전반의 근본적 개편이 필요한 시점"이라며 "이번 실효성 강화 방안을 계기로 인증제도를 개인정보 보호의 핵심 사전 예방 수단으로 발전시키겠다"고 밝혔다. 류제명 과기정통부 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 보안 환경에 대응해 제도를 보다 엄격하고 내실 있게 운영해 나가겠다"고 말했다. Copyright ⓒ Metro. All rights reserved. (주)메트로미디어의 모든 기사 또는 컨텐츠에 대한 무단 전재ㆍ복사ㆍ배포를 금합니다. 주식회사 메트로미디어 · 서울특별시 종로구 자하문로17길 18 ㅣ Tel : 02. 721. 9800 / Fax : 02. 730. 2882 문의메일 : [email protected] ㅣ 대표이사 · 발행인 · 편집인 : 이장규 ㅣ 신문사업 등록번호 : 서울, 가00206 인터넷신문 등록번호 : 서울, 아02546 ㅣ 등록일 : 2013년 3월 20일 ㅣ 제호 : 메트로신문 사업자등록번호 : 242-88-00131 ISSN : 2635-9219 ㅣ 청소년 보호책임자 및 고충처리인 : 안대성