SK텔레콤의 유심 해킹 피해사고 논란이 일파만파 커지고 있다. 점유율 1위 통신회사의 고객 2300만명이 잠재적 피해자가 될 수 있다는 지적이 나오고 있는 가운데, 해외에서도 국내 통신업계의 허술한 보안성에 대한 비판의 목소리가 나오고 있다.
1일 파이낸셜투데이가 유럽의 저명한 보안전문가 피에를루이지 파가니니(Pierluigi Paganini)와 진행한 인터뷰에 따르면, 이번 SK텔레콤의 해킹 사고는 예견된 인재였다.
그는 지난해까지 EU 사이버 보안청 ENISA의 전문가 그룹 고문직을 수행했다. 현재 유럽의 보안 컨설팅 기업 사이보러스(Cybhorus)의 대표이자 이탈리아 유니페가소 대학의 사이버보안 연구 소장으로 재직하고 있다.
파가니니 대표는 SK텔레콤의 유심 침해 사고가 ‘사이버 보안의 투명성’보다 ‘기업 이미지’를 우선시하는 보수적 접근 방식 때문이라고 평가했다.
최근 전 세계 통신사들은 보안 태세를 강화하기 위해 버그바운티 프로그램을 도입하고 있다. 도이체텔레콤과 AT&T 등 글로벌 텔코(통신기업)들은 책임감 있는 취약점 공개를 장려하기 위해 이러한 프로그램을 도입하고 있다.
하지만 SK텔레콤을 포함한 KT, LG유플러스 등 주요 통신사들은 현재 ‘공개 버그바운티 프로그램’을 운영하지 않고 있다. 따라서 선제적인 취약점 공개 메커니즘이 부재하고 회사의 핵심 인프라는 미탐지된 보안 취약점에 취약한 상태에 놓이게 된다는게 그의 설명이다.
파가니니 대표는 “한국 통신 업계가 버그바운티 프로그램 도입을 꺼리는 것은 사이버 보안 투명성보다 기업 이미지를 우선시하는 보수적인 접근 방식”이라며 “한국 통신 업계에는 모호함을 통한 구식 보안을 넘어 버그바운티 프로그램과 같은 투명하고 협력적인 조치를 채택해 사용자 데이터를 보호하고 신뢰를 구축해야 한다”고 조언했다.
파이낸셜투데이 최형주 기자