SKT 유심 사태에 대한 단상

728x90

SKT USIM 이 해킹된 사건이 요글래 이슈이다. SKT 통신사 가입자로서 한 번도 통신사를 바꿔 본 적은 없다.

개인앱을 개발하면서 기존에 서비스를 개발하면서 보안 담당자한테 자문을 구해본 적은 있으나 개인정보 보호 정책에 대한 법이라던가 어떤 것을 반드시 표시해야 하는지는 사실 외우고 있진 못하다. 그러나 이번 사태를 보면서 그냥 지나치지 말고 보안의 경각성과 시큐어 코딩을 생각하면서 코딩 습관을 길러야겠다고 생각했다.

SKT 회사에 대한 단상

과거에 잠시 모바일 보안 관련 회사에 다닌 적이 있다. 사장은 SKT 에서 보안 관련 업무를 해서 팀장까지 하다가 대기업의 경직된(?) 문화를 못 이겨서 나와서 회사를 차린 거란다. 사실 요새는 대기업이 그나마 유연근무제를 도입하거나 회식 같은 문화를 강요하지 않는다고 하는데 그 당시에는 그러지 않았을 것이다.

본격적인 IT 개발에 매진할때 SKT 종로에 있는 사옥에 근무를 한적 있다. SKT 1차 협력 업체였는데 이 회사는 참 돈이 많구나 라는 생각이 들었다.

물론 개발의 공수나 해당 기술들이 얼마나 난도가 있고 어려운지는 차치하더라도 그냥 하드 코딩되었는 것을 클릭하는 데모를 만드는데 하나의 어플당 1500여만 원을 받았던 걸로 기억한다. 회사대 회사니 그럴 수 있다곤 하지만 그 당시 회사가 4개의 서비스를 맡고 있었으니 고작 한두 시간 작업하고(기존 구현되어 있는 것을 하드코딩 화 한 것이다.) 그렇게 받는 다면 남는 장사 아닌가라고 생각했다.

보안이라는 도메인

대부분 회사들은 보안에 신경을 잘 안쓸 수밖에 없다고 생각한다. 큰 대기업이나 자금이 충분한 회사들도 당장 이슈가 없는데 언제 발생할 일에 대해서 자금을 투자하고 꾸준히 유지보수에 대한 비용을 지불한다는 게 쉽지 않다고 생각한다.

전 직장도 애플리케이션의 간단한 시큐어 코딩조차도 되어있지도 않았다. 인증키는 소스에 하드코딩 되어있었다. 서버나 기존 직원들의 대답이 충격적이었다.

"그거 원래 기존부터 그랬고(웃음) 그게 도대체 왜 문제인지도 인지도 안된 것 같았으며 아무도 그걸 이슈라이징조차도 안되어있었다. 그냥 원래부터 그런 걸로 치부하고 있더라"

그러면 사실 그 키만 탈취해서 간단한 요청을 가로채 보면 충분히 악의 적으로 디도스 공격도 가능할 테고..

기존 회사들을 다닐 때 당연해서 전혀 그냥 흘러갔던 이슈들이 이 회사는 이슈가 아니거나 우선순위에 밀려서 진행조차 하지 못하거나 아무도 이런 것들이 이슈라고 생각하지 못하는 무지한 상태..

결국 정부의 지침이 올라와서 보안팀(인원도 처음엔 리더라고 한 명 뽑음)에서 정부 지침에 따라서 해야 한다고 지침이 내려왔고 우선순위를 조율하고 다른 산적해 있는 것들을 뒤로 미루고 그거부터 언제까지 날짜를 박고 진행했었다. 물론 근본적인 이슈는 아니고 일단 정부 가이드를 따라 기본은 해야 했으니 말이다.

그래도 그 회사는 대기업 자회사였는데도 현실이 이러했다. 이러다가 보안 이슈 터지면 대표이사 옷 벗겠지 라는 생각을 하며 조마조마 다녔던 기억이 있었다.(그 당시 뜬금없이 다른 계열사에서 보안 이슈가 나서 신문 기사가 났었던 거 같다)

생각해 보면 우리나라 보안 회사의 가장 큰 회사를 꼽자면 안랩을 떠올리게 된다.(~~정치 테마주가 되었지만~~) 다른 회사들은 코스닥에 등록되어 있거나 중소업체들이 설루션기반으로 대기업에 납품하는 정도라든가 해당 직원이 보안의 전문가로 컨설팅을 하더 다니는 정도의 회사들이 많다. 어느 회사든 실제 개발하는 사람이 더 많지 보안을 담당하고 개발하는 사람이 더 많은 회사는 내 경험상 없었던 거 같다.

SKT USIM 해킹사태

유심이 해킹되어서 개인정보를 탈취해서 해커가 복제 휴대폰을 만드는 것이 가능하다고 한다. 아직까진 피해가 발생하지 않았다 하더라도 집단소송의 움직임, 모든 매체에서 포화 공격이 이루어 진고 초반 대응도 미진하다고 난리가 난 상태이다.

우리 동네도 이미 유심이 동난 상태라 지금 가거나 예약을 해도 교체가 불가능하다. 나는 일단 SKT 유심 보호 서비스에 가입을 한 상태긴 한데 다음 주나 예약을 해서 교체를 해야 할 것 같다.

갑자기 떠오르는 기억이 있다. "유심 속 알고리즘 개발자는 연봉 1억 이상이야" 그 당시 어떤 분이 말했던 걷다. 그 당시 개발자의 처우는 그리 높지 않았던 시절이었는데 1억이라니.. 그래도 개발자로 성공하면 억대 연봉을 받을 수 있구나 라는 정도 생각도 해보았다.

나의 결론

이 이슈도 한국사람의 특성상 시간이 지나고 언론에 노출되지 않으면 또 잊힐 것이다.

그러나 이전 회사에서도 경험했듯이 개발자도 시큐어 코딩에 익숙해지고 어느 정도 개발을 할 때 그 정도 지침은 가지고 해야 할 것이다.

시큐어 코딩은 선택이 아니라 필수이고 해킹이라는 게 결국 공격과 방어이다. 방어를 아무리 해도 공격의 수단은 다양하기 때문에 언제나 모니터링을 철저히 하고 담당자는 항상 있어야 하고 미리 예방하는 지식을 가지고 있으면서 정기적인 세미나를 통해 경각심은 있어야 할 것 같다고 생각한다.

[업데이트]

우리동네는 전부 유심이 오릭 나서 5월 8일까지 안된다고 써붙여 놨더라

과연 어떻게 결말이 날런지 말이다.

아래는 여러 사람들이 벌써 대처 방안에 대해서 설명해 놓은 게 많아서 유튜브 링크를 걸어놓겠다.

나 같은 경우는 유심 보호 서비스나 신청하고 , 가까운 대리점에 예약을 걸면 대리점에서 재고가 있으면 연락을 준다더라. 쩝 기다릴 수밖에..

https://www.youtube.com/results?search_query=skt+%EC%9C%A0%EC%8B%AC+%ED%95%B4%ED%82%B9+%EB%8C%80%EC%B2%98

www.youtube.com