[아이티데일리] 국내 최대 이동통신사 SK텔레콤에서 가입자 2,300만 명의 USIM(유심) 정보가 유출되는 초대형 보안 사고가 발생했다. 보안 업계에 따르면 해커들은 VPN(가상사설망) 취약점을 통해 홈가입자서버(HSS)에 침투하고 악성코드를 설치해 가입자식별번호(IMSI), 유심인증키 등을 탈취한 것으로 알려졌다.

이번 사고에는 최근 보안 업계 최대 화두 중 하나인 제로 트러스트(Zero Trust) 관점에서 되짚어봐야 할 몇 가지 포인트가 있다. 제로 트러스트란 내부 네트워크 및 시스템에 접근하는 사용자가 신뢰할 수 있는 대상인지를 끊임없이 검증하자는 보안 기조와, 이를 달성하기 위한 각종 기술 및 아키텍처를 말한다.

먼저 사용자 계정만 확보하면 내부 네트워크 침입이 가능한 VPN이 통로가 됐다는 점을 지적할 수 있다. 제로 트러스트 선도 업체들은 진작부터 VPN의 취약성을 지적해왔다. 이번 사건을 계기로 VPN의 사용을 지양하고 제로 트러스트 네트워크 액세스(ZTNA) 및 소프트웨어 정의 경계(SDP) 기술을 대체 도입해야 한다.

내부망에 진입한 해커가 HSS 서버와 가입자 데이터베이스(DB)를 자유롭게 횡단한 점도 문제로 지적된다. 제로 트러스트 원칙에 입각한다면 VPN을 통해 HSS 서버에 침투했더라도 서버와 DB는 마이크로세그멘테이션 원칙 및 기술로 분리되므로 가입자 DB 전체에 대한 접근 권한이 기본적으로 주어지지 않아야 한다. 그리고 DB 접근 권한을 얻기 위해서는 신원을 다시 확인하고 아이디 패스워드 외 추가 인증까지 요구하도록 해야 한다. 또 설령 DB에 접근했다 하더라도 열람 권한은 최소화하고, 데이터 복제 권한 역시 주어지지 않아야 한다. 가입자 개인정보를 수십, 수백 개 세그멘테이션으로 나눠 분할 저장하고 한 계정이 일정 개수 이상의 자료를 열람하거나 복사할 수 없도록 정책 및 권한이 설정돼야 한다.

유출된 USIM 정보가 암호화돼 저장됐는지도 따져봐야 한다. 제로 트러스트의 기본 원칙인 '데이터 중심 보안'을 생각한다면 필수이거니와, DB 암호화는 수십 년 된 기본 보안 조치이기도 하다. 암호화 방식 역시 다양하게 사용했는지를 따져봐야 한다. 중국 화웨이의 경우 사용자 인증, 네트워크 구간, 데이터 저장, 전송 과정, 백업 시스템에 각기 다른 암호화 방식을 적용하는 5계층 암호화 구조를 사용하는 것으로 알려졌다. 일부 구간의 암호 체계가 뚫려도 전체 유출을 방지할 수 있다.

최악의 사고를 겪은 SK텔레콤이지만 지난해 이미 제로 트러스트 보안 구축 의지는 있었던 것으로 보인다. 갖춰지기 전에 먹잇감이 된 것이 애석할 따름이다. 하지만 보안 투자 금액이 2024년 기준 600억 원 수준에 그쳐 1,200억 원 이상을 투자한 KT나 623억 원을 투자한 LG유플러스 대비 미진했고, 이는 보안을 후순위로 미루고 최근 화두인 AI에 투자가 집중됐기 때문이 아니냐는 비판으로 이어진다. 이런 맥락에서 이번 사고가 주는 메시지는 간략하다. AI도 시급한 문제지만, 기업의 존폐를 가를 수 있는 제로 트러스트 보안 체계 구축에 전폭적인 투자가 필요하다는 것이다.

기업들은 SKT 사고를 남일 보듯 해선 안 된다. 아직 제로 트러스트 원칙에 입각해 보안 체계를 구축하지 않았다면 위험도 차이는 크지 않다. 정부 역시 제로 트러스트 보안 구축을 가능한 선에서 강제로라도 장려해야 한다. 법안이든 고시든 하루바삐 정비해 독려하지 않는다면 사고는 또 난다. 전향적 조치가 필요한 때다.