ソウル市内の、とあるT world(ティーワールド)の店舗。開店時間の午前10時になる前に数十人の客が並んでいる。みんな一様にUSIM(ユーシム)カードの交換のために集まった。午前中、この光景はソウルだけでなく韓国内2600余りの店舗でも見受けられた。USIMカードを奪取された通信利用者は、今や自分の個人情報がどれほど脆弱(ぜいじゃく)であるかを身をもって感じている。
SKテレコムは先月18日、ホーム加入者サーバー(HSS)が悪性コード攻撃でハッキングされ、加入者のUSIM情報の流出を確認した。流出した情報には移動加入者識別番号(IMSI)、端末機固有識別番号(IMEI)、電話番号、USIM認証キー値などが含まれていた。これらの情報は個々のUSIMを識別する重要な情報だ。計2300万人と推定される加入者情報のうち、どれくらい流出したのかはまだ明確に明らかにされていない。
初期の段階でSKテレコムは「USIM保護サービス」の加入だけで十分との見解を示し続けていた。しかし、世論の怒りが高まるや、全国のT world店舗で、先月28日からUSIMを無償交換することを決定した。問題は、SKテレコムが保有するUSIMが約100万個に過ぎないことだ。同社は5月末までに500万個を追加で確保すると明らかにしたが、全体の加入者数に比べるとあまりに足りない状況だ。
このような状況の中、28日からはオンライン予約システムまで開通させたが、需要が集中して接続障害が発生している。混乱は続いている。
最も懸念される犯罪は「シムスワッピング(SIM Swapping)」だ。USIM情報を盗用・複製して被害者の銀行や仮想通貨の口座を奪取する新種のハッキング手法だ。流出したUSIM情報で新しいSIMカードを複製すれば、携帯電話の認証番号を傍受して本人認証を無力化できる。
SKテレコムは「名前や住民番号といったセンシティブな情報は流出していないため、不正決済など犯罪に悪用される恐れはない」と主張しているが、被害の可能性は排除できない。実際、南部の釜山(プサン)では、60代の男性が知らない間に格安フォンが開通し、銀行口座から5,000万ウォン(約501万4,200円)が引き出される被害事例が報告された。
今回の事態をきっかけに、通信インフラの安全性に対する根本的な問いが提起されている。国会科学技術情報放送通信委員会のチェ・ミンヒ委員長が確認したところによると、今回ハッキングされたSKテレコムのホーム加入者サーバー(HSS)、加入者認証キー保存システムなどの核心サーバーは「主要情報通信基盤施設」に指定すらされていなかった。
韓国社会の根幹をなす通信インフラがこのように脆弱な状態で放置されていたのだ。現行制度は施設の細かな指定範囲を一次的に民間機関が定めるようにしており、事実上、「民間の自律」に任せている仕組みだ。これにより、SKテレコムは最近3年間にハッキング対象となったサーバーについて、政府主導の技術点検やセキュリティテストを受けた形跡がなかった。
チェ・ミンヒ委員長は「HSS、USIMなど核心サーバーは、国民情報と通信安全を守る国家的基盤であるにもかかわらず、現行制度に抜け穴があるため、主要情報通信基盤施設の指定すら受けられずにいた」と指摘した。
一方、投資家たちも今回の事態を深刻に受け止めている。先月28日午前10時40分時点のSKテレコムの株価は、取引前日比4.84%下がって5万5,000ウォン(約5,510円)で取引された。一方、競合他社のKTとLGユープラスはそれぞれ2.79%、3.14%上昇し、反射利益を享受した。
利用者の抗議活動も本格化した。「SKTのUSIMハッキングへの共同対応公式ホームページ」が開設され、国会の国民同意請願を通じ、真相究明や被害救済策の策定など、SKテレコムに対し、責任ある対応を求めている。
大統領の権限を代行しているハン・ドクス首相は先月27日、科学技術情報通信部(省)など関係機関に対し、「USIM保護サービスの加入、USIMの交替など、措置が適正であるかを綿密に点検し、国民の不便解消に全力を尽くしてほしい」と緊急指示を出した。
今、我々に必要なのは、一時的な対応策ではなく、通信インフラ全般に対する基本的な安全性のチェックだ。デジタル世界で、USIMは単なるチップではなく我々の身分そのものだ。我々は今、その意味を切実に悟っている。
