서울 시내 한 T월드 매장. 개점 시간인 오전 10시가 되기도 전에 수십 명의 사람들이 줄을 서 있다. 다들 한결같이 유심카드 교체를 위해 모였다. 오전 내내 이 광경은 전국 2600여 개 매장에서 반복됐다. 유심카드를 탈취당한 통신 이용자들은 이제야 자신의 개인정보가 얼마나 취약한지 몸으로 체감하는 중이다.

SK텔레콤은 지난 18일 홈가입자서버(HSS)가 악성코드 공격으로 해킹당해 가입자 유심(USIM) 정보가 유출된 정황을 확인했다. 유출된 정보에는 이동가입자식별번호(IMSI), 단말기고유식별번호(IMEI), 전화번호, 유심 인증키값 등이 포함됐다. 이 정보들은 개별 유심을 식별하는 핵심 정보다. 총 2300만 명으로 추정되는 가입자 정보 중 얼마나 유출됐는지는 아직 명확하게 밝혀지지 않았다.

초기에 SK텔레콤은 ‘유심보호서비스’ 가입만으로도 충분하다는 입장을 고수했다. 하지만 여론이 악화되자 28일부터 전국 T월드 매장에서 유심 무상 교체를 결정했다. 문제는 SK텔레콤이 보유한 유심이 약 100만 개에 불과하다는 점이다. 회사는 5월 말까지 500만 개를 추가 확보하겠다고 밝혔지만, 전체 가입자 수에 비하면 턱없이 부족한 상황이다.

이런 상황에서 28일 온라인 예약 시스템까지 개통했지만, 수요가 몰리면서 접속 장애가 빚어지고 있다. 혼란은 계속되고 있다.

가장 우려되는 범죄는 ‘심 스와핑'(SIM Swapping)이다. 유심 정보를 도용·복제해 피해자의 은행이나 가상화폐 계좌를 탈취하는 신종 해킹 수법이다. 유출된 유심 정보로 새로운 심 카드를 복제하면 휴대전화 인증 번호를 가로채 본인인증을 무력화할 수 있다.

SK텔레콤은 “이름과 주민번호 같은 민감정보는 유출되지 않았기 때문에 부정 결제 등 범죄 악용 우려는 없다”고 주장하지만, 피해 가능성을 배제할 수 없다. 실제로 부산에선 60대 남성이 자신도 모르는 사이 알뜰폰이 개통되고 은행 계좌에서 5000만원이 인출되는 피해 사례가 신고됐다.

이번 사태를 계기로 통신 인프라의 안전성에 대한 근본적인 질문이 제기되고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장실이 확인한 바에 따르면, 이번에 해킹당한 SK텔레콤의 홈가입자서버(HSS), 가입자 인증키 저장 시스템 등 핵심 서버는 ‘주요정보통신기반시설’로 지정조차 되지 않았다.

우리 사회의 근간을 이루는 통신 인프라가 이렇게 취약한 상태로 방치됐던 것이다. 현행 제도는 시설의 세부 지정 범위를 1차적으로 민간기관이 정하도록 하고 있어, 사실상 ‘민간 자율’에 맡기는 구조다. 이로 인해 SK텔레콤은 최근 3년간 해킹 대상이 된 서버에 대해 정부 주도의 기술점검이나 침투 테스트를 받은 이력이 없었다.

최민희 위원장은 “HSS, USIM 등 핵심 서버는 국민 정보와 통신 안전을 지키는 국가적 기반임에도 현행 제도의 허점으로 인해 주요정보통신기반시설 지정조차 받지 못하고 있었다”고 지적했다.

한편 투자자들도 이번 사태를 심각하게 받아들이고 있다. 28일 오전 10시 40분 기준 SK텔레콤 주가는 전 거래일 대비 4.84% 내린 5만5000원에 거래됐다. 반면 경쟁사인 KT와 LG유플러스는 각각 2.79%, 3.14% 상승하며 반사이익을 누렸다.

이용자들의 집단행동도 본격화됐다. ‘SKT 유심 해킹 공동대응 공식 홈페이지’가 개설됐고, 국회 국민동의 청원을 통해 진상 규명과 피해 구제책 마련, SK텔레콤의 책임 있는 대응을 촉구하고 있다.

한덕수 대통령 권한대행 국무총리는 27일 “유심보호서비스 가입, 유심교체 등 조치의 적정성을 면밀히 점검하고 국민 불편 해소에 전력을 다하길 바란다”고 과학기술정보통신부 등 관계 기관에 긴급지시를 내렸다.

이제 우리에게 필요한 것은 임시방편적 대응이 아닌 통신 인프라 전반에 대한 근본적인 안전성 점검이다. 디지털 세상에서 유심은 단순한 칩이 아니라 우리의 신원 그 자체다. 우리는 이제야 그 의미를 절실히 깨닫고 있다.