[윤상호 기자]
정부가 지난 4월 발생한 SK텔레콤 해킹 사고에 대해 철퇴를 내렸다. 과학기술정보통신부가 SK텔레콤 약관상 회사의 귀책 사유를 인정했다. 가입자식별모듈(USIM, 유심) 정보 유출 2696만건에 대해 서비스 해지 위약금 면제가 타당하다고 판단했다. SK텔레콤이 받아들이지 않을 경우 시정명령 등 법적 조치를 취하겠다고 했다. 개인정보보호위원회 조사 경찰 수사 결과 등에 따라 추가 제재도 예고했다.
4일 과학기술정보통신부는 서울 정부서울청사에서 'SK텔레콤 침해사고 관련 민관합동조사단 최종 조사 결과'를 발표했다.
 |
류제명 과기정통부 제2차관/사진=정부이브리핑시스템 |
정부가 지난 4월 발생한 SK텔레콤 해킹 사고에 대해 철퇴를 내렸다. 과학기술정보통신부가 SK텔레콤 약관상 회사의 귀책 사유를 인정했다. 가입자식별모듈(USIM, 유심) 정보 유출 2696만건에 대해 서비스 해지 위약금 면제가 타당하다고 판단했다. SK텔레콤이 받아들이지 않을 경우 시정명령 등 법적 조치를 취하겠다고 했다. 개인정보보호위원회 조사 경찰 수사 결과 등에 따라 추가 제재도 예고했다.
4일 과학기술정보통신부는 서울 정부서울청사에서 'SK텔레콤 침해사고 관련 민관합동조사단 최종 조사 결과'를 발표했다.
류제명 과기정통부 제2차관은 "법률 자문 등을 거쳐 SK텔레콤의 과실이 발견된 점과 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 SK텔레콤 이용 약관상 회사의 귀책 사유에 해당한다"라며 "위약금 면제 규정 적용이 가능하며 SK텔레콤이 이를 이행하지 않으면 전기통신사업법 절차대로 시정명령을 요구하고 그래도 따르지 않으면 틍록 취소 조치 등을 진행할 것"이라고 밝혔다.
이날 정부는 SK텔레콤의 지난 4월 해킹이 사실 2021년 8월 시작했다는 점을 공개했다.
공격자는 '시스템 관리망' 서버를 통해 침입을 시작해 2021년 12월 '코어망'의 '음성통화인증(HSS) 관리 서버' 및 HSS 서버에 악성코드를 심었다. 2022년 6월에는 '고객 관리망' 서버에 추가 거점을 만들었다. 이를 바탕으로 지난 4월 유심정보 25종 가입자식별번호(IMSI) 기준 2696만건 9.82기가바이트(GB) 분량 정보를 빼냈다. 총 28대 서버에서 악성코드 33종을 발견했다.
SK텔레콤의 해킹 은폐와 부실 대응도 드러났다.
SK텔레콤은 2022년 2월 해킹 정황을 발견했다. 악성코드 2종을 찾아 삭제했다. 문제는 이 사실을 한국인터넷진흥원(KISA)에 신고하지 않은 점. 정보통신망법 위반이다. 로그 기록 일부만 들여다봐 HSS 관리 서버 및 HSS 해킹 사실은 몰랐다. 당시 처리를 똑바로 했다면 이번 일은 없었다.
4월에도 24시간 신고 의무를 지키지 않았다. 과기정통부의 자료 보전 명령도 어겼다. 일부 감염서버 설정을 변경(포맷과 같은 효과)해 정밀 분석 불가능 상태로 만들었다.
류 차관은 "2022년 신고 위반과 지난 4월 늑장 신고 관련 SK텔레콤의 소명 절차는 거쳤지만 조사단이 범죄성까지 밝히기는 한계가 있다"라며 "경찰이 수사를 하고 있고 관련 고소 고발도 있어 수사를 통해 밝혀져야 하는 부분이 있다"라고 설명했다.
또 "추가적인 처벌 등은 경찰 조사 결과 등이 나오면 그때 살펴보겠다"라고 덧붙였다.
위약금 면제는 통신사 사활이 걸린 문제다. 통신 사업은 요금제 약정을 매개로 가입자를 묶어두는 영업 방식이 일반적이다. SK텔레콤은 지난 5월 국회 과학기술정보방송통신위원회 청문회에서 위약금 면제가 현실화할 경우 최대 7조원의 손실이 날 수 있다고 우려했다.
유영상 SK텔레콤 대표는 "위약금을 인당 10만원으로 계산할 경우 이들에게 기대할 수 있는 3년 매출 등을 감안 7조원 이상 손실이 날 수 있다"라고 걱정했다.
 |
과기정통부는 위약금 면제 판단을 위해 총 5곳의 법무법인과 의논했다.
류 차관은 "기본적으로 약관에 대한 해석 즉 계약 당사자간 채무이행과 관련해서는 민법에 의해 당사자가 해결할 사안이라는 의견이 공통적었지만 이 경우는 각종 법률상 과기정통부가 권한과 역할이 있다고 판단했다"라며 "귀책 사유가 모호한 부분이 있기 때문에 이번 결정이 침해사고와 위약금 면제를 일반화하기에는 한계가 있다"라고 분석했다.
위약금 면제는 기본적으로 4월18일 정보 유출 기준 2696만건 모두에 해당한다고 봤다. 인터넷과 인터넷(IP)TV 등 결합상품 위약금 면제 여부는 사업자 판단으로 돌렸다.
류 차관은 "4월18일 유출된 2696만건 그 시점 고객은 모두 해당이 된다"라며 "이후 통신사를 옮긴 가입자에게는 당연히 환불 조치를 해야하고 나머지 고객은 SK텔레콤이 구체적 범위를 정해서 제시할 것이라고 생각한다"라며 "결합할인 위약금 등을 정부가 일률적으로 판단해 정리하기는 어렵다"라고 전했다.
한편 이번 사고를 계기로 진행한 다른 통신사와 플랫폼사 보안 점검은 지금까지 문제를 찾지 못했다.
최우혁 조사단 단장(과기정통부 정보보호네트워크정책관)은 "KT와 LG유플러스는 SK텔레콤에 준하는 수준으로 점검한 결과 지금까지 문제가 없다"라며 "플랫폼 4개사는 아직 진행 중"이라고 말했다.
윤상호 기자 crow@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
![로고프 교수가 말하는 달러·비트코인 운명 [US Report]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F19%2F2025%2F12%2F20%2Fec5143d5ae5a44b69970e15080f4902b.jpg&w=384&q=100)
