KISA, SKT 해킹시점 수정…현장조사 지연 등 ‘늑장 대응’ 도마

신고 결정 시점을 해킹 시점으로 수정해줘…“의사소통 오류”
최수진 의원 “신고도 늦었는데 자료보전 요구·현장점검도 부실 의혹”

▲ 지난 25일 서울 한 SKT 대리점에서 한 직원이 사용한 유심 카드를 들어 보이고 있다. 연합뉴스

SK텔레콤이 해킹 공격을 받은 사실을 법정 시한을 넘겨 신고한 가운데, 이를 접수한 한국인터넷진흥원(KISA)이 사건 발생 시간을 석연찮게 수정한 것으로 드러나 논란이 일고 있다.

또 KISA는 해킹 신고를 접수한 뒤에도 자료 보전 요청과 현장 조사를 하루 넘게 지연해 ‘늑장 대응’ 비판까지 받고 있다.

27일 KISA가 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)에게 제출한 ‘SKT 해킹 사건 경과’에 따르면, SK텔레콤은 지난 20일 오후 4시 46분 해킹 피해를 신고했다. KISA는 사건 인지 시점을 그보다 한 시간 앞선 지난 20일 오후 3시 30분으로 기록했다.

하지만 SK텔레콤은 지난 18일 오후 6시 9분 사내 시스템 내 데이터 이상 이동을 발견했으며, 같은 날 오후 11시 20분 악성코드를 찾아 해킹 공격 사실을 내부에 보고했다. 즉, 해킹 인지 시점은 지난 18일 오후 11시 20분인데, KISA는 이를 지난 20일 오후 3시 30분으로 40시간가량 늦춰 기록한 셈이다.

KISA는 최 의원실에 제출한 자료에서 “해킹 신고 관련 인터뷰 과정에서 사건 인지 시간에 대한 설명 후 SKT에서 인지 시간을 변경했다”고 해명했지만, SK텔레콤은 “18일 밤 인지한 시점을 정상적으로 신고했으며 이후 변경한 사실이 없다”고 반박했다.

KISA 측은 “SK텔레콤 보안 책임자가 신고 결정을 내린 시점을 사고 인지 시점으로 착각해 실무자가 정정한 것”이라며 “미스 커뮤니케이션이 있었다”고 설명했다.

이에 대해 최 의원은 “SK텔레콤이 18일 밤 해킹을 인지하고 상부에 보고한 것이 명백한 데도, 책임자가 신고를 결정한 시점을 사고 시점이라며 고쳐준 것은 납득하기 어렵다. SK텔레콤이 침해사고 발생 시 이를 알게 된 때부터 24시간 이내 신고해야 하는 규정을 어기자, 이를 무마하려 한 것 아니냐”고 비판했다.

또한 최 의원은 “KISA가 사건 접수 후에도 신속히 대응하지 못했다”며 추가로 지적했다. KISA는 SK텔레콤에 자료 보전 및 문서 제출을 요청한 시점이 지난 21일 오후 2시 6분으로, 신고 접수 후 약 21시간이 지난 뒤였다. 현장 상황 파악과 대응 방안 논의를 위해 전문가를 파견한 것은 그보다 6시간 뒤인 21일 오후 8시였다.

하지만 이마저도 실제 해킹 피해가 발생한 분당 센터가 아닌 서울 중구 SK텔레콤 본사로 향했으며, KISA는 “원격으로도 분당 상황 파악이 가능했다”고 해명했다.

최 의원은 “KISA는 침해 사고 발생 시 즉시 출동·대응을 원칙으로 한다”며 “가입자 2300만명의 ‘디지털 신분증’ 역할을 하는 유심(USIM) 정보가 유출돼 국민이 불안해하고 있는 이번 사건에 대해, 당국의 대응은 신속하고 적절했다고 보기 어렵다”고 강하게 비판했다.

과학기술정보통신부 관계자는 “민관 합동조사단이 사건 인지 시점 기록 변경 여부와 초기 대응 적절성 등을 포함해 정확한 상황을 조사하고 있다”고 밝혔다.
 

#대응 #SK텔레콤 #해킹 #사건 #수정