한국 통신 역사상 최악의 해킹 사건의 여파로 국내 금융 기관들이 본인 인증 시스템을 강화하기 위해 경쟁적으로 나서고 있습니다. 최근 발생한 SK텔레콤(SKT) 유출 사고로 인해 국내 디지털 인프라의 심각한 취약점이 드러나면서 금융 분야에서도 네트워크에 독립적인 강력한 인증 솔루션이 시급히 필요하다는 점이 강조되고 있습니다.
SK텔레콤 침해의 범위와 규모
2025년 4월 18일, 약 2,500만 명의 가입자를 보유한 국내 최대 이동통신사인 SK텔레콤(참고: 한국의 인구는 약 5,100만 명)은 내부 시스템에 대한 사이버 공격을 감지했습니다. 이 침해 사고는 류영상 CEO가 국회에서 “국내 통신 역사상 최악의 해킹 사건” 이라고 인정할 정도로 심각한 수준이었습니다.
이번 공격으로 가입자 전화번호, IMSI(국제 모바일 가입자 식별) 번호 등 민감한 유심(USIM, 범용 가입자 식별 모듈) 데이터와 유심 정보 처리와 관련된 SKT 내부 관리 자료 21종이 노출되었습니다(출처: 정부 보도자료). 유출된 정보는 총 9.7기가바이트에 달하며, 국회에 제출된 보고서에 따르면 책 약 9,000권 또는 문서 270만 페이지에 해당하는 양입니다.
SK텔레콤은 4월 18일 오후 11시 20분경 보안관제센터에서 데이터 유출을 알리는 이상 트래픽을 처음 탐지했습니다. 다음 날 새벽 1시 40분까지 악성코드에 감염된 침해 장비를 격리하고 침입 경로와 데이터 유출 규모를 분석하기 시작했습니다. 그러나 법에서 규정하는 24시간 통지 요건을 훨씬 초과한 이틀이 지나서야 당국에 사건을 신고해 비난을 받았으며, 피해 고객에게 통지하는 데 2주 이상 걸렸다는 이유로 여론의 추가 조사를 받고 있습니다.
국가가 후원하는 해커와의 잠재적 연결 고리
이번 보안 침해는 광범위한 국제 사이버 보안 위협과 관련이 있을 수 있습니다. 4월 24일, 대만의 사이버 보안 회사 TeamT5는 Ivanti VPN 기기의 심각한 취약점으로 인해 전 세계적인 보안 위험이 발생하고 있으며, 중국과 연계된 해커 그룹이 “Ivanti Connect Secure” 가상 사설망 시스템의 결함을 악용하여 전 세계 기관에 침투하고 있다고 경고하는 보고서를 발표했습니다.
시기가 SKT 사건과 일치하며, 업계 소식통에 따르면 이반티 VPN 장비는 SK텔레콤을 포함한 많은 한국 기업에서 사용하고 있어 연관성이 있을 수 있다고 합니다. 수사 과정에서 당국은 버클리 패킷 필터를 악용하는 스텔스 백도어인 BPFDoor 멀웨어의 네 가지 변종을 확인했으며, 특히 해커의 통신을 탐지하기 어렵게 만드는 변종이 발견되었습니다.
시장 및 소비자 반응
이 사건으로 SK텔레콤의 시가총액은 약 9,236억 원(6억 4,320만 달러)이 감소하는 등 재정적으로 큰 타격을 입었습니다. 한편, 하루 만에 3만 4천여 명의 고객이 경쟁 통신사인 KT와 LG유플러스로 전환하는 등 가입자 이탈이 시작되었습니다. 단 3일 만에 4만 9,000명 이상이 회사를 상대로 법적 소송을 지지하는 커뮤니티에 가입하는 등 집단 소송 운동이 탄력을 받고 있습니다.
정부 및 기업의 반응
국가정보원은 정부 기관과 공공기관에 업무용 무선 기기의 유심 카드를 재발급하도록 지시했습니다. 경찰청은 22명으로 구성된 특별전담반을 구성하여 유출 사건을 수사하고 있으며, 금융위원회와 금융감독원은 소비자 보호 및 금융 시스템 안정성 강화를 위한 긴급 대응책을 마련했습니다.
현대자동차는 고위급 임원을 위한 교체용 유심을 확보하고 사내 교체 서비스를 제공하는 등 주요 기업들이 발 빠르게 대응하고 있습니다. 삼성전자는 임원들에게 SKT 유심을 “즉시” 교체하라고 지시했고, 현대자동차, 한화, 네이버, 카카오 등 다른 대기업 직원들에게도 비슷한 지침이 내려졌습니다.
즉각적인 보호 조치
금융 기관에서는 잠재적인 사기를 방지하기 위해 긴급 프로토콜을 시행하고 있습니다:
- 강화된 인증 요건: KB국민, 신한, 하나, 우리 등 주요 은행은 신규 디지털 인증서를 발급받거나 새 기기에서 모바일 금융 거래를 완료하려는 SKT 사용자에게 얼굴 인식을 요구하고 있습니다.
- 거래 제한: 일부 금융기관에서 SK텔레콤 사용자의 모바일 일회용 비밀번호 발급을 포함한 거래 요청을 거부하고 있습니다.
- 사기 탐지: 은행은 승인되지 않은 금융 거래를 식별하기 위해 사기 탐지 시스템을 강화했으며, 사기 시도가 의심되는 경우 즉시 계좌를 동결하고 있습니다.
- 대체 인증 방법: 금융 서비스 제공업체는 SK텔레콤 이용자에게 유심 보호 서비스 가입, 유심 칩 교체, 문자 메시지 이외의 인증 수단 사용을 권고하고 있습니다.
통신사 주도 인증의 취약성
SKT 유출 사고는 한국의 본인 인증 생태계에 심각한 취약점을 드러냈습니다. 많은 금융 기관은 인증 프로세스의 일부로 통신사 중개 사용자 인증에 크게 의존해 왔습니다. 금융회사는 일반적으로 모바일 금융 거래를 승인하기 위해 통신사 인증 외에 최소 두 단계 이상의 추가 단계를 요구하지만, 이번 유출 사고로 인해 통신 인프라에 의존한 본인 인증의 위험성이 부각되었습니다.
통신사 주도의 인증이 지배적인 상황에서 한국의 신용카드 회사들이 본인 인증 서비스 시장에서 철수하고 있다는 점에서 이 취약점은 특히 우려스러운 부분입니다. 이번 사건은 인증 역량을 단일 산업 또는 기술 접근 방식에 집중하는 것의 위험성을 보여줍니다.
한국에서의 신원 확인의 진화
역사적 맥락
한국은 디지털 신원 확인 시스템의 오랜 역사를 가지고 있습니다:
2000년대 초반부터 국내 대부분의 은행은 PKI(공개키 기반구조) 인증서를 기반으로 인터넷 뱅킹 서비스를 제공했습니다8. 이러한 방식은 정부가 2015년까지 인터넷 뱅킹에 PKI 인증서를 의무적으로 적용하도록 규제하면서 시작되었습니다8.
한국은 2007년 온라인상의 프라이버시 침해와 명예훼손 문제를 해결하기 위해 “본인확인제” 를 시행했습니다12. 이 제도는 5년간의 공론화와 정치적 논의를 거쳐 정보통신망 이용촉진 및 정보보호 등에 관한 법률로 법제화되었습니다12.
디지털 신원 확인의 최근 발전
SKT 유출 사고 이전에도 한국은 신원 확인 시스템을 현대화하는 데 상당한 진전을 이루었습니다:
2025년 3월, 대한민국은 모든 국민과 외국인이 스마트폰에 디지털 버전의 대한민국 주민등록증을 추가할 수 있는 디지털 신분증 도입을 전국적으로 완료했습니다. 이 디지털 신분증에는 블록체인 및 암호화와 같은 보안 기능이 포함되어 있으며, 신원 도용을 방지하기 위해 생체 인증이 필요합니다.
또한 정부는 최근 외국인 주민을 위한 체류증 확인 서비스를 출시하여 은행을 직접 방문하지 않고도 휴대폰을 통해 금융 거래를 할 수 있도록 했습니다. 이 서비스는 외국인 등록증에 있는 사진에서 얼굴 특징을 추출해 법무부 데이터베이스에 있는 사진과 비교해 실시간으로 진위 여부를 확인하는 서비스입니다.
새로운 접근 방식의 필요성
SK텔레콤 유출 사고는 이러한 발전에도 불구하고 한국의 신원 확인 인프라에 심각한 취약점이 남아 있음을 보여주었습니다. 이 사건으로 인해 인증 솔루션의 필요성이 더욱 커졌습니다:
- 네트워크 연결에 의존하지 않음
- 대규모 데이터 유출로 인한 침해 방지
- 강력한 생체 인식 요소 통합
- 통신 사업자와 독립적으로 기능합니다.
안전한 신원 확인의 미래
한국의 금융 기관들은 보다 안전한 신원 확인 방법을 모색하고 있으며, SKT 유출 사고로 드러난 근본적인 취약점을 해결할 수 있는 솔루션이 필요합니다. 이상적인 솔루션은 네트워크에 독립적이고 보안성이 높으며 첨단 생체인식 기술을 활용하여 기존 통신 인프라가 손상되더라도 신원 확인을 효과적으로 유지할 수 있는 것입니다.
개인 정보 보호 우선, 네트워크가 필요 없는 생체 인증의 이점
최근의 개인정보 유출 사건으로 인해 개인정보 보호를 최우선으로 하는 네트워크 없는 생체 인증 시스템의 장점에 대한 인식이 높아지고 있습니다. 이러한 시스템은 생체 인식 데이터를 중앙 데이터베이스가 아닌 로컬에 저장하므로 대규모 데이터 유출의 위험이 없습니다. 또한 네트워크 연결과 독립적으로 작동하므로 네트워크 기반 공격 및 중단에 대한 복원력이 뛰어납니다.
또한 생체 인증은 개인마다 고유하고 위조나 도용이 어렵기 때문에 기존 방식보다 높은 수준의 보안을 제공합니다. 이러한 시스템을 사용자 동의와 데이터 보호를 우선시하는 개인정보 보호 우선 접근 방식으로 구현하면 보안을 강화하는 동시에 개인정보 보호 규정을 준수할 수 있습니다.
SNAPPASS 에서 현재 취약점을 해결하는 방법
앤오픈의 SNAPPASS 기술은 SKT 유출 사고로 드러난 취약점을 해결하는 데 있어 중요한 진전을 이루었습니다. 얼굴 인식 기반의 물리적 신분증 및 인증 솔루션인 SNAPPASS 은 매우 안전하고 정확한 신원 확인 방법을 제공하여 범죄와 사기를 예방하는 데 도움을 줍니다.
네트워크와 중앙 데이터베이스에 의존하는 기존 인증 시스템과 달리 SNAPPASS 은 확장 가능한 오프라인 콜드 스토리지 생체 인식 신원 확인을 제공합니다. 네트워크에 의존하지 않는 이 접근 방식은 통신 시스템이 손상되더라도 신원 확인을 중단 없이 계속할 수 있음을 의미합니다.
SNAPPASS 는 “오인식률 0%의 무한한 수의 생체 인식 사용자” 를 지원할 수 있으며 “원격 또는 공기 간격을 포함한” 시설을 보호할 수 있습니다. 따라서 높은 수준의 보안과 신뢰성이 요구되는 금융 기관에 특히 적합합니다.
특히 금융 애플리케이션의 경우, SNAPPASS 는 “SNAPPIN 온보드 결제 카드” 로 금융 범죄를 방지하여 생체 인식 보안 결제 단말기로 카드 도난, 사기 및 무단 거래로부터 사용자를 보호할 수 있습니다. 이 기능은 유출된 USIM 데이터로 인한 잠재적 금융 사기에 대한 SKT 유출 사고로 인해 제기된 우려를 직접적으로 해결합니다.
SNAPPASS 을 통해 조직의 고객 데이터 보호를 강화하는 방법을 알아보세요:
