과기부 "SKT, 보안 관리 과실…위약금 면제 해야"
SKT 대규모 해킹 사태를 조사하는 민관합동조사단이 사고 발생 70여 일 만에 조사결과를 발표했다. 정부는 조사단 결과를 토대로 관리와 대응 측면에서 SKT의 과실이 있었다며 위약금 면제 규정 적용이 가능하다고 판단했다. 과학기술정보통신부는 4일 정부서울청사에서 한국인터넷진흥원(KISA) 및 민간 전문가로 구성된 SKT 해킹 사태 관련 민관합동조사단의 최종 조사 결과를 발표했다. 조사단은 지난 4월23일부터 6월27일까지 SKT 전체 서버 4만2천605대를 대상으로 강도 높은 조사를 벌였다. 조사단에 따르면 28대의 서버에서 33종의 악성코드가 확인됐다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 IMSI 기준 약 2천696만 건으로 9.82GB에 달한다. 앞서 지난 4월 2차 조사결과 발표 당시에는 23대 서버에서 25종의 악성코드를 발견했다고 발표했지만 추가 피해가 확인된 것이다. 조사단은 감염서버 중 단말기 식별번호(IMEI)와 이름, 생년월일 등의 개인정보가 임시 저장된 서버 2대와 통신기록이 저장된 서버 1대도 발견했다. 정밀 분석 결과 로그 기록이 남아있는 기간 동안 자료가 유출된 정황은 없었지만 IMEI와 개인정보의 로그 기록이 없는 기간(각각 2022년 6월 중순~2024년 12월 초, 2023년 1월 말~2024년 12월 초)의 유출 여부는 확인되지 않았다. 최초 감염 시점도 2022년 6월에서 2021년 8월로 당겨졌다. 공격자는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속해 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치한 것으로 확인됐다. 조사단은 이번 해킹 사태를 키운 요인으로 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 세 가지를 지적했다. SKT가 음성통화인증 관리서버 계정 정보를 다른 서버에 암호화하지 않은 채 저장해 감염 및 유출 사고가 발생했다는 것이다. 이 같은 내용을 기반으로 해킹 사고에 대해 SKT 이용약관상 위약금 면제 규정을 적용할 수 있는지 법률자문을 진행한 과기정통부는 회사 측의 과실이 있었다고 판단했다. 계정정보 관리 부실 등 SKT가 계약상 주된 의무인 '안전한 통신서비스 제공 의무'를 다하지 못했다는 이유에서다. 이번 정보유출 사고는 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다는 것이 과기정통부의 설명이다. 아울러 과기정통부는 "SKT가 정보통신망법 제45조3 등에 따라 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄하여야 하나, 보안 업무를 IT영역(자산의 57%)과 네트워크 영역(자산의 43%)으로 구분하고 CISO는 IT 영역만 담당하고 있다"며 "전사 자산을 담당하는 정보기술 최고책임자(CISO)를 신설하고, IT자산관리 솔루션을 도입해야 한다"고 말했다. 정보보호 강화에 필요한 인력 및 예산 규모를 타 통신사 이상의 수준으로 확대해야 한다고도 덧붙였다. 유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사고였다"며 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보 보호를 기업 경영의 최우선 순위로 둬야 한다"고 강조했다. 한편, 정부가 위약금 면제 조항을 적용할 수 있다고 판단함에 따라 SKT 약정기간이 남아 있는 가입자들이 다른 통신사로 대거 이동할 가능성도 제기된다. 다만 SKT도 약관 해석을 두고 법적 대응에 나설 수 있어 위약금 면제에 대한 최종 판단은 법원이 내릴 것으로 보인다.
