우왕좌왕 KISA…SKT 해킹 사고인지 시점 자료 부실 시인

"SKT 해킹인지 시점은 18일 23시20분" 자료 배포
최수진 의원실에는 20일 오후 3시 30분과 병기해 실수
논란 부추겨..인지 시점 후 24시간 내 관계기관 신고 의무

[이데일리 최연두 기자] 한국인터넷진흥원(KISA)이 SK텔레콤이 유심(USIM)관리 서버 감염 사실을 최초로 인지한 시점에 대해 사실 관계를 정정했다.

SK텔레콤 측과 이번 사고 관련 논의하는 과정에서 침해사고 ‘인지 시점’에 대한 이해도가 달라 내부 기록에 혼선이 있었다고 해명했지만, 국내 최고의 민간 보안 기관에서 사고대응 메뉴얼이 제대로 갖춰지지 않았다는 비판이 일고 있다.

KISA는 SK텔레콤이 이번 사고를 인지한 시점은 ‘18일 밤 11시20분’이 맞다고 28일 밝혔다. 하지만, KISA는 최수진 국민의힘 의원에게 앞서 사고 인지 시점에 대해 ‘18일 밤 11시 20분’과 ‘20일 오후 3시 30분’으로 병기된 자료를 제출해 혼란을 부추겼다. 이 때문에 최 의원은 대기업 봐주기라고 비판했다.

인지 시점이 중요한 이유는 신고 의무를 위반하면 과태료 부과 등 처분을 받을 수 있어서다.

현행 정보통신망법상 정보통신서비스 제공자는 사이버 침해사고를 인지한 후 24시간 이내 과학기술정보통신부와 KISA 등 관계 기관에 신고해야 하고, 이를 어길 시 3000만원 이하의 과태료가 부과될 수 있다. 개인정보보호법상 개인정보 유·노출이 의심될 경우 개인정보보호위원회에 72시간 내 이를 신고해야 한다.

이날 KISA 측은 “침해사고 인지 시점에 대해 양자 간 이해의 차이가 있음을 인지하지 못한 상태에서 해당 자료가 외부(의원실)에 전달돼 이에 대한 혼선이 발생했다”고 해명했다. 또 내부 자료에 ‘20일 오후 3시30분’이 기재된 것은 정정이 아닌 추가 기록이라고 밝혔다.

한편 과학기술정보통신부와 KISA 등 중심으로 민관합동조사단이 꾸려져 조사가 진행 중이며, 이를 통해 사실 관계 등을 확인할 예정이다.

KISA 관계자는 “향후 침해사고 신고 과정에서의 혼선이나 오류, 설명 부족 등이 재발하지 않도록 보완할 예정”이라며 “신속한 대응과 투명한 정보 공유를 약속하며, 국민의 불편과 불안이 조속히 해소될 수 있도록 최선을 다하겠다”고 언급했다.

한국인터넷진흥원(KISA)이 공개한 SK텔레콤 침해사고 신고 일지(사진=KISA)

최연두 (yondu@edaily.co.kr)