24시간 내 신고 규정 위반…피해 규모 '아직'

<앵커>

고객 유심 정보를 해킹당한 SK텔레콤이 해킹 징후를 포착하고도 24시간 안에 신고해야 할 의무를 지키지 않은 것으로 드러났습니다. SK텔레콤은 일부러 그런 건 아니라고 해명했습니다만 해킹 사실을 안 지 일주일이 다 되도록 피해 규모와 해킹 경로 등을 파악하지 못한 것으로 확인됐습니다.

엄민재 기자입니다.

<기자>

SK텔레콤이 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 처음 확인한 건 지난 18일 오후 6시 9분입니다.

이어 밤 11시 20분 악성코드를 발견하고 일부 파일이 삭제된 흔적을 확인했습니다.

해킹 공격을 받았다는 사실을 내부적으로 확인한 겁니다.

다음 날인 19일 새벽 1시 40분, 어떤 데이터가 빠져나갔는지 분석을 시작했고, 밤 11시 40분에 해커에 의한 악성 코드로 이용자 유심과 관련된 일부 정보가 유출된 정황을 확인했습니다.

SK텔레콤이 이 사실을 한국인터넷진흥원에 신고한 건 그다음 날인 20일 오후 4시 46분인데, 최초인지 시점보다 46시간, 해킹 공격으로 판단한 시점보다도 41시간 이상 지난 뒤입니다.

관련 법에는 사이버 침해사고를 인지한 뒤 24시간 안에 신고하도록 돼 있습니다.

[김승주/고려대 정보보호대학원 교수 : 동일한 악성 코드가 다른 통신사나 다른 기관에 전파될 수도 있기 때문에 유사 기관의 피해가 확산되지 말라는 차원에서 24시간 이내에 신고하라고 하는 거예요.]

신고 의무 위반만으로도 3천만 원 이하의 과태료를 물 수 있는데, SK텔레콤 측은 고의적인 신고 지연 의도는 없었다고 해명했습니다.

[SK텔레콤 관계자 : 사안의 중대성을 고려하여 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진….]

SK텔레콤은 해커가 관리 서버를 통해 나간 건 확인했지만, 아직 어떻게 침입했는지는 확인하지 못한 것으로 알려졌습니다.

해킹 정황을 인지한 지 일주일이 다 되도록 어떤 종류의 정보가 얼마나 유출됐는지 확인하지 못하고 있습니다.

SK텔레콤은 금융사기나 복제폰 제작 등 2차 피해를 막기 위해 '유심 보호 서비스'를 무료로 제공하고 있습니다.

(영상편집 : 우기정)

엄민재 기자 happymj@sbs.co.kr