SKTハッキング事態、USIMセキュリティ特別法へとつながるか？

今回のSKT認証サーバーハッキング事態の技術的な核心は、通信会社が加入者にパスワード（認証キー）を伝達する核心媒体であり、4G/5G通信網セキュリティの中枢であるSIMカード関連情報が管理される中央サーバーシステムが、外部攻撃によって侵害されたという点にある。これは単なるデータ流出を超え、攻撃者が理論的に偽の基地局を通じて特定のユーザーを標的にし、通信セッションをハイジャッキング（乗っ取り）する可能性を開くものである。結果として、ARS認証電話や金融取引用のSMSメッセージを中間で奪取したり、通話内容を盗聴し、スミッシング／フィッシング攻撃の精度を高めるなど、深刻なセキュリティ脅威に直結しかねない。

これを防止する方法として挙げられたSIMカードのPIN（暗証番号）設定は、カード自体の物理的な盗難・紛失時の無断使用を防ぐには有効だが、サーバー側で認証情報自体が流出した可能性には対応できない。したがって、流出した認証情報を廃棄し、新たなセキュリティキーの割り当てを受ける唯一の方法は、SIMカードを交換（物理的交換またはeSIMの再発行）することである。

以下のColorScale YouTubeチャンネルの動画は、SKTの中央サーバーハッキングがユーザーにどのようなセキュリティ脅威を与えるかについて最も正確に説明しているため、詳細な内容に関心のある読者には視聴を勧める。

まず、SKTの初期対応は極めて不十分であり、技術的な内容に無知な大多数の顧客を事実上欺く内容の謝罪文・案内文を配布したため、非常に重大な問題だと言える。事態の深刻さを認識した政府と国会は、ユ・ヨンサン代表取締役を聴聞会に召喚した後、不十分な対応であることを認め、被害を予防するために全社的な努力を注ぐことを注文した。ユ・ヨンサン代表取締役は当該聴聞会で「通信史上最悪のハッキングに同意」するという立場を明らかにした。その後、SKTは新規加入を暫定中断し、ユ・サンイム科学技術情報通信部長官はKISA（韓国インターネット振興院）インターネット侵害対応センターを訪問し、「SKTの事故を契機に情報保護体系を全面的に再検討」しなければならないと注文した。

このように加入者のセキュリティに核心として作用するUSIM情報がすべて流出したと判断できる根拠は、データが平文で保存されていたためである。理論的に、サーバーがハッキングされたとしても、サーバーに保存されたデータが高いレベルで暗号化されていれば、情報そのものは流出しなかった可能性が高いが、すべて平文（テキスト）で保存されていたことは、SKTのずさんな情報セキュリティ体系と文化を裏付けるものである。

上記の記事によると、リュ・ジョンファン副社長はこれまで法的に定められた義務事項がなかったため、機微なデータを暗号化しなかったという趣旨で答弁を行ったが、これを読んだ瞬間に私の頭の中に浮かんだ考えは、「これではUSIMセキュリティ特別法が発議されるのではないか」というものだった。

韓国の法体系において筆者が最も問題意識を持っている部分は、まさに国民と立法者、そして執行者までもが皆、法を「文字通り解釈」しようとする傾向があるという点だ。法は社会が正常に機能するために、個人と彼らが所属している集団に一定の方式で行動することを誘導するように設計される。したがって、時間が経過し社会が発展するにつれて法は共に変化する特性を持っており、絶対的な善悪を判断する道具ではない。問題は、大部分の人々が法を善悪を判断できるマニュアルのように扱っていることにある。

法が文字通り反映される明白なマニュアルになってしまえば、法典で明確に定義されていない行動によって社会的に損害を与える群れにデメリットを与える根拠を喪失することになり、すでに皆が損害を被った後にようやく改正される、いわゆる「牛を失ってから牛小屋を直す（後の祭り）」道具になってしまう。

SKTサーバーハッキング事態の本質は、ここ数年間会社がセキュリティへの投資を減らしたことでも、役職員のずさんなセキュリティ意識でも、USIM情報を必須的に暗号化しアクセスしにくいよう設計することを具体的に明示した法の不在でもない。企業が顧客に重大な被害を与えた際、それ以上の責任を負わせる制度と、これに対する根拠を提供する法体系がないためである。

すべての制度と構造には長所と短所があるが、社会において「信頼」という資本は必須的に利用される。私は信頼が十分な社会であるほど、取引で生じる摩擦が減り、したがって発展できる原動力になると信じている。信頼は信仰の一種であるため、これを毀損させる人と組織に強力なデメリットを与える構造だけが、このような呆れたハッキング事態を予防する動機を与えることができる。