SK텔레콤 신분증 스캐너 보안 논란... 복사본 통과 의혹에 SKT "전 통신사 시스템 한계"

SKT 심각한 보안 문제되고 있지만 방치되고 있는 신분증 스캐너 작동 동영상 중 일부. <영상=제보팀장 제공>

 

인화지 개통 및 개인정보 유출 위험 지적 속 책임 소재 둘러싼 공방...시스템 전반 재점검 필요성 대두

대포폰 개통 등 명의도용을 방지하기 위해 도입된 이동통신사의 신분증 스캐너 시스템을 둘러싸고 보안 취약점 의혹이 제기되고 있다. 특히 SK텔레콤 판매점에서 사용되는 시스템에 대해 복사본이나 위변조된 신분증 이미지까지 통과될 수 있다는 주장이 제기되며 논란이 확산되는 양상이다. 하지만 SK텔레콤 측은 해당 시스템이 자사만의 문제가 아닌 전 통신사가 공통으로 사용하는 시스템의 한계라고 해명하며 반박에 나섰다.

신분증 스캐너는 지난 2016년 12월 전기통신사업법에 근거해 명의도용과 대포폰 개통 방지 목적으로 사용이 의무화됐다. 해당 시스템은 과학기술정보통신부, 방송통신위원회 등의 정책 감독 아래 한국정보통신진흥협회(KAIT)가 주관하여 개발 및 운영하며 이동통신 3사 및 알뜰폰 사업자가 공통으로 사용한다. 여러 차례 시스템 업데이트가 이루어졌지만, 보안 취약점 의혹은 끊이지 않았다.

■ 제보로 드러난 의혹들

SK텔레콤은 자사 판매점 포털을 통해 고객 신분증을 스캔하고 진위 여부를 확인하는 절차를 사용한다. 그러나 15일 제보팀장에 따르면, 최근 일부 대리점에서는 인화지에 출력한 신분증 이미지에 QR코드를 삽입하는 등 위변조된 방식으로 실제 개통이 이루어질 수 있다는 주장이 나왔다. 이는 시스템이 복사본이나 위조 이미지도 실물처럼 인식하는 허점을 가지고 있음을 시사하며, "100% 검수하고 있다"는 SK텔레콤의 공식 입장과 배치되는 지점이라고 지적한다.

더욱 심각한 문제는 신분증 스캔 정보 관리 방식에 있다는 의혹이다. 제보된 내용에 따르면, SK텔레콤 시스템은 판매점 포털을 통해 스캔된 신분증 이미지를 사용자의 로컬 PC 내 특정 경로(C:\SKT-UScan\agent\WEB-INF\classes\uscan.skt)에 저장한다고 한다. 해당 경로에는 OCR 데이터(문자인식 정보)까지 포함된 이미지 파일이 저장되는 구조라 보안 취약성이 크다는 지적이 뒤따른다.

이 같은 구조는 악성코드나 불법 프로그램에 의해 손쉽게 악용되어 개인정보가 유출될 수 있는 환경을 제공한다는 우려가 나온다. 실제로 시스템을 우회하는 것으로 알려진 프로그램들이 꾸준히 온라인에서 등장하고 있다는 의혹도 제기되는 상황이다.

SK텔레콤은 2025년 1월과 2월, 보안 강화를 위한 업데이트를 두 차례 진행한 것으로 알려진다. 1월에는 신분증 사진 진위 여부 판별 기능이, 2월에는 신분증 스캔 시 QR코드 기반 인증 기능이 도입됐다. 그러나 제보팀장의 설명에 따르면, 이 기능들은 적용 후 불과 일주일도 되지 않아 무력화되었다는 의혹이 제기됐다.

■ 시스템 책임 소재 둘러싼 공방

SK텔레콤 홍보팀 관계자는 해당 의혹들에 대해 적극적으로 해명했다. 해당 관계자는 신분증 스캔 활동은 '전기통신사업법'에 따라 부정가입 방지를 위한 법적 활동이며, 한국정보통신진흥협회가 이통 3사와 함께 운영하는 시스템이라고 밝혔다. 따라서 신분증 스캐너 단말은 이통 3사 공통으로 사용하며, SK텔레콤 스캐너에만 문제가 있다는 것은 사실과 다르다고 강조하며 오해가 없도록 부탁했다.

이 관계자는 이통 3사는 과기부의 가이드 하에 한국정보통신진흥협회를 통해 안전장치를 지속적으로 마련하고 개선 중이라고 설명했다. 또한, 방송통신위원회와 이통 3사는 불법 프로그램 사용 흔적이 있거나 개인정보 방침을 위반한 영업점에 대해서는 퇴출 및 고발 등 강력한 조치를 취하고 있다고 덧붙였다.

제보팀장이 증거로 제시한 영상에 대해서도 이 관계자는 "그 영상은 SK텔레콤 스캐너의 문제가 아니라 정보통신진흥협회가 운영하는 스캐너 자체의 문제"라며, 그것이 마치 SK텔레콤의 문제인 것처럼 받아들여지면 안 된다고 강조했다.

이처럼 신분증 스캐너 시스템에서 복사본 이미지 통과 의혹, 로컬 경로 정보 노출 위험 의혹, 반복되는 우회 사례 의혹 등 여러 문제점이 제보되었지만, SK텔레콤 측은 이 시스템이 자사만의 것이 아닌 전 통신사 공통 시스템의 한계이자 문제라고 반박하며 책임 소재에 대한 공방이 벌어지고 있는 상황이다.

시스템 전면 점검과 구조 개선 없이 '검수 중'이라는 형식적 대응만 반복된다면, 누가 운영하든 스캐너는 보안 장치가 아닌 보안이 뚫린 절차로 남을 수밖에 없다. 무엇보다 개인정보가 실시간으로 저장되고 노출될 수 있는 구조적 문제는, 이용자들의 신분이 제3자에 의해 도용될 수 있는 심각한 위협을 내포한다는 점에서 우려가 크다.

이 사건은 이동통신 가입 절차의 투명성과 보안성, 그리고 전 국민의 개인정보 보호에 있어 중대한 사안으로 보인다. 문제의 근본적인 원인이 무엇인지, 그리고 시스템 운영 주체인 정부 기관 및 협회, 그리고 사용자인 이통 3사 중 누구에게 책임이 있는지 등에 대한 관계 기관의 면밀한 검토와 후속 조치가 필요해 보인다.

SK텔레콤의 신분증 스캐너 시스템이 복사본이나 인화된 이미지도 통과시키며 개인정보가 로컬 PC에 노출되는 심각한 보안 취약점 의혹에 휩싸였다. 이는 대포폰 개통 등 명의도용 위험을 높이고 있으나, 최근 업데이트조차 단기간에 무력화되었다는 주장이 제기되며 시스템 전반의 재검토 필요성이 강조된다.