SK텔레콤의 침해사고 계기로 통신망에 저장되거나 전송되는 유심 관련 인증 정보의 암호화 저장 필요성이 본격적으로 제기됐다. 현재 인증 절차에 사용되는 유심 고유번호, 인증 토큰 등 일부 식별 정보는 통신사 시스템 내에서 평문으로 저장되거나 암호화되지 않은 채 전송되는 구조가 여전히 존재해 해킹 시 탈취 위험이 남아있다는 것이다.

기술적 조치 수준에서도 통신 3사 간 격차가 존재한다. KT는 2021년부터 IMSI 암호화 기능이 적용된 5G USIM을 도입했고, LG유플러스는 PUF(물리적 복제 불가능 함수) 기반의 고보안 유심을 상용화했다. 반면 SK텔레콤은 이번 사고 시점까지 암호화 조치를 적용하지 않았고, 사건 이후에야 관련 체계 강화에 착수했다.

국제 표준도 이와 관련한 최소한의 보안을 요구하고 있다. 5G SA 환경에서는 가입자 식별정보(SUPI)를 암호화된 형태(SUCI)로 전송해야 한다는 규정이 3GPP TS 33.501 표준에 명시돼 있다. 이는 LTE 시절 IMSI가 평문으로 전송되던 보안 취약점을 개선하기 위한 조치다.

국내에서 5G SA 상용화가 아직 이뤄지지 않았고 한국을 포함한 다수 국가에서는 해당 표준이 법제화로 이어지지 않았다. 이에 대해 전문가들은 “기술적으로는 사실상 의무인데, 제도적으로는 방치되고 있는 전형적인 보안 사각지대”라고 지적한다.

염흥열 교수는 “5G SA 환경에서는 전송 구간 암호화는 표준상 필수지만, 저장은 통신사 자율에 맡겨진 상황”이라며 “KT, LG유플러스는 암호화를 적용했지만 SK텔레콤은 하지 않아 업계 기준을 따르지 않은 셈”이라고 밝혔다.

https://zdnet.co.kr/view/?no=20250518235826

kt나 u플보다 못한거 맞네요