加入者２３００万人のＳＫＴがサイバー攻撃でＵＳＩＭ情報流出、２次被害がないようあらゆる措置を取るべきだ

加入者が約２３００万人に達する韓国国内最大のモバイル通信会社であるＳＫテレコムがサイバー攻撃を受け、ＵＳＩＭ情報が流出する事故が発生した。１９日午後１１時頃、ホーム加入者サーバー（ＨＳＳ）がマルウェアに感染し、ここに記録されたモバイル加入者の識別番号（ＩＭＳＩ）や端末固有識別番号（ＩＭＥＩ）、ＵＳＩＭ認証キーなどが流出したものと疑われる。ＳＫテレコムは、マルウェアを直ちに削除し、住民登録番号や生年月日、口座番号のような個人情報は流出しなかったと明らかにした。しかし、情報流出の範囲や規模などが正確に確認されておらず、追加被害はないと断言できない状況となっている。

ＵＳＩＭカード情報を悪用すれば、「デポフォン（他人の名義の携帯電話）」を開通させ、携帯メールや電話を横取りできる。ＳＫテレコムは、ＵＳＩＭの違法使用を遮断しており、その可能性は小さいというが、「デポフォン」で本人認証の手続きが無力化されれば、銀行や証券アプリにアクセスしたり携帯電話の小額決済、ＳＮＳアカウント奪取などを試みることができる。２０２２年に国内でも「シム・スワッピング」の事例が４０件余り通報された。当時、被害者たちは、携帯電話が突然不通になり、端末が変更されたという通知を受けた後、数百万ウォンから数億ウォンに達する仮想通貨を盗まれた。

今回のサイバー攻撃は、セキュリティが最も徹底していると考えられるＨＳＳという中央サーバーが攻撃を受けたという点で深刻だ。現在、ハッカーの正体や侵入経路およびその方法、情報流出の範囲などが把握されていない状態だ。このため、ますます高度化するサイバー攻撃技術に備えたセキュリティ技術や人材投資が不十分だったのではないかという指摘が出ている。ＬＧユープラスは、２０２３年１月に３０万件、ＫＴは２０１４年に１２００万件の個人情報を流出した事故があった。モバイル通信会社の個人情報流出事故が繰り返されているにもかかわらず、脆弱なセキュリティへの投資慣行やセキュリティ意識はなかなか改善されていない。

携帯電話は、デジタル化された個人情報が含まれた身分証に他ならず、モバイル通信は公共インフラに近いだけに加入者の不安も大きい。ＳＫテレコムは、事故から４日が過ぎてから加入者に携帯メールを発送し、ＵＳＩＭ保護サービスを案内している。国内最大のモバイル通信会社として責任を重く感じ、最悪の場合を想定して加入者保護措置を取らなければならない。原因を隠すことなく調査し、再発防止対策も講じなければならない。