SK텔레콤에서 발생한 대규모 해킹 사고는 단순한 개인정보 유출 사건이 아니다. 국가 기간망 수준의 통신 인프라가 뚫렸고, 국민 2,300만 명의 가입자 정보가 고스란히 유출됐다. 이 가운데에는 IMSI, IMEI, 인증 키 등 휴대전화와 가입자의 관계를 식별하는 핵심 정보도 포함돼 있었다. 이는 단순한 해킹을 넘어, 국민 통신권의 근간이 흔들릴 수 있는 심각한 위기다.
이번 사건이 남긴 가장 중요한 교훈은 명확하다. 지금처럼 개인정보를 한곳에 저장하고 확인하는 중앙 집중형 인증 체계로는 더 이상 국민을 지킬 수 없다는 점이다. 해커의 손에 한 번 뚫리면 모든 정보가 무방비로 노출되는 구조다. 이는 기술이 아닌 구조의 실패다.
이제는 인증 체계의 패러다임을 바꿔야 할 때다. 그 해법 중 하나로 떠오르는 것이 바로 영지식 증명(Zero-Knowledge Proof, ZKP) 기술이다. ZKP는 개인의 민감한 정보를 제3자에게 공개하지 않고도 특정한 자격이나 조건을 증명할 수 있는 암호학적 방법이다. 예컨대 “나는 성인이다”, “나는 이 통신 서비스의 정당한 가입자다”라는 사실은 증명하지만, 주민등록번호나 실명은 제공하지 않는다. 서버에 정보를 저장하지 않으니, 해킹되더라도 유출될 정보가 없다.
그러나 이 같은 기술이 있다고 해도, 하루아침에 모든 시스템을 교체할 수는 없다. ZKP 도입은 기술 이전에 현실과 접점을 고려한 단계적 접근이 필요하다.
첫째, 지금 당장 도입할 수 있는 것은 통신사 앱이나 고객센터에서 사용하는 본인 인증 체계다. 기존에는 이름, 생년월일, 휴대전화 번호 등 개인정보를 제출해야 했지만, 이제는 ZKP와 분산신원(DID) 기술을 통해 본인임을 증명할 수 있다. 기술적 장벽이 낮고 실효성도 높아, 통신사들이 시범 적용하기에 가장 적합한 영역이다.
둘째, 중장기적으로는 통신망의 일부 인증 구조에 ZKP 기반 보안 계층을 하이브리드 방식으로 적용해야 한다. 예를 들어 HSS 서버와 단말기 간 통신에서 민감 정보를 직접 전송하지 않고, ZK 방식으로 '정상 인증 요청임'을 검증하는 구조다. 이는 통신망 표준과의 정합성 문제를 수반하므로, 민간 기업과 정부, 기술표준기관 간 협력이 필수다.
셋째, 정부와 금융기관, 통신사가 함께 참여하는 공공 인증 생태계로 확대해 나가야 한다. 건강보험 자격 확인, 운전면허 진위 검증, 모바일 주민등록증과 같은 분야에 ZKP를 접목하면, 불필요한 개인정보 유출 없이도 행정서비스를 이용할 수 있다. 이는 디지털 전환을 준비하는 정부에게도 보안과 효율을 모두 잡을 수 있는 기회가 될 것이다.
ZKP는 단순한 보안 기술이 아니다. 이는 국민의 정보 주권을 보호하는 새로운 기준이며, 해킹이 일상이 된 시대에 우리 사회가 선택해야 할 보안의 재설계 도구다. 더 이상 "정보를 저장해야만 인증이 가능하다"는 낡은 논리에 머물러서는 안 된다. 정보 없이도 증명할 수 있는 기술, 그것이 미래의 기본값이 되어야 한다.
정부는 ZKP 기술의 도입을 민간에만 맡길 것이 아니라, 시범사업과 제도 정비를 통해 도입을 유도해야 한다. 통신사 역시 이번 사태를 계기로 근본적인 체계 개선에 나서야 할 것이다.
지금은 전환의 시간이다. 더 늦기 전에 구조를 바꿔야 한다.