국민 정보 2696만건 털린 SKT…정부, ‘위약금 면제’ 공식 판단

조사단, 감염서버 총 28대·악성코드 총 33종 확인
유심정보 25종 유출…IMSI 기준 2696만건
계정정보 관리 부실, 과거 침해사고 대응 미흡, 암호화 조치 소홀
SKT 침해 사고 과실…"약관상 위약금 면제 사유 해당"

서울의 한 SKT 매장의 모습. ⓒ뉴시스

SK텔레콤(SKT)의 유심정보 유출 사고와 관련해 정부가 ‘회사의 귀책 사유’로 판단, 이용자 위약금 면제가 가능하다는 입장을 내놨다. 통신사 과실로 인한 해지에 대해 정부가 약관상 면제 조항을 적용한 첫 사례다.

과학기술정보통신부는 4일 민관합동조사단의 조사 결과를 발표하며, SK텔레콤이 이번 침해사고에 과실이 있고, 계약상 주된 의무인 안전한 통신서비스 제공을 다하지 못했다고 판단했다. 이는 SKT 이용약관상 ‘회사의 귀책 사유’에 해당하는 것으로, 피해 이용자는 약정 기간 중에도 위약금 없이 계약 해지가 가능할 전망이다.

조사단은 SK텔레콤이 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요 정보 암호화 조치 미흡 등 여러 문제점을 드러냈다고 판단했다.

계정 정보 관리 부실

SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버 계정 정보를 타 서버에 평문으로 저장했다. 조사단은 공격자가 같은 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다.

이에 대한 대책으로 조사단은 SK텔레콤이 서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화해 저장하는 한편, 서버 접속을 위한 다중인증 체계를 도입할 것을 요구했다.

과거 침해사고 대응 미흡

이와 함께 SK텔레콤이 지난 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 신고 의무는 이행하지 않은 것도 드러났다.

침해사고가 발생하면 즉시 그 사실을 과기정통부 또는 KISA에 신고해야 하며 위반 시 3000만원 이하의 과태료 부과된다.

당시 점검 과정에서 SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견했으나, 해당 서버에 대한 로그기록 6개 중 1개만 확인, 공격자가 서버에 접속한 기록을 확인하지 못했다.

이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPFDoor 악성코드를 확인하지 못했으며, 침해사고도 신고하지 않아 정부가 조사를 통해 악성코드를 발견해 조치하는 것도 이뤄지지 못한 책임이 있다.

이에 조사단은 SK텔레콤이 침해사고 발생 시 법령에 따른 신고의무를 준수하고 철저한 원인 분석을 통해 피해확산 방지 노력을 이행해야 한다고 요구했다.

SKT 침해 사고 원인ⓒ과학기술정보통신부

주요정보 암호화 조치 미흡

유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하고 있음에도 SK텔레콤은 암호화하지 않고 저장한 것도 문제가 됐다.

조사단은 SK텔레콤은 관계 법령 및 국제 권고에 따라 주요 정보를 암호화할 것을 요구했다.

침해사고 신고 지연 및 미신고·자료보전 명령 위반…정보통신망법 위반

이번 침해 사고 대응과정에서 SK텔레콤은 침해사고 신고 지연 및 미신고, 자료보전 명령 위반 등 정보통신망법 준수 의무 2가지를 위반했다고 조사단은 밝혔다.

구체적으로 SK텔레콤은 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 하나, 24시간이 지난 후 신고했다. 또한 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다.

또 과기정통부가 침해사고 원인 분석을 위해 자료 보전을 명령했으나 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다.

이에 따라 정부는 SKT에 과태료를 부과하는 한편 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰할 예정이다.

정보보호 활동 및 거버넌스 체계 미흡

조사단은 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과, SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실도 있었다고 밝혔다.

이에 따라 SK텔레콤이 EDR, 백신 등 보안 솔루션 도입 확대, 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검 및 제거 등 보안 관리를 강화하고, 협력업체 공급 SW 등 외부 조직 및 서비스로부터 발생하는 위험에 대한 보호대책을 마련해 이행하는 등 공급망 보안체계를 구축할 것을 요구했다.

이와 더불어 SK텔레콤의 정보보호 최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 CEO 직속 조직으로 강화할 것도 요청했다.

이 밖에 방화벽 로그기록을 6개월 이상 보관하고, 중앙로그관리시스템을 구축하는 한편 전사 자산을 담당하는 정보기술 최고책임자(CIO)를 신설하고, IT자산관리 솔루션을 도입할 것을 당부했다.

정보보호 인력 및 투자 규모 역시 경쟁사 대비 부족한 만큼 정보보호 강화에 필요한 인력 및 예산 규모를 타 통신사 이상의 수준(가입자 당 기준)으로 확대할 것도 강조했다.

SKT 위약금 면제 관련 약관ⓒ과학기술정보통신부

SKT 침해 사고 과실…"약관상 위약금 면제 사유 해당"

위약금 면제와 관련해 정부는 SK텔레콤이 계정정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 등의 문제점이 있었으며, 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실을 확인함에 따라 SK텔레콤 과실이 있다고 판단했다.

정부는 조사 결과를 토대로 6월 26일부터 7월 2일까지 5개 법률 자문기관에 추가 자문을 의뢰했고, 이 중 4곳은 SK텔레콤의 과실을 인정하고 위약금 면제 규정이 적용 가능하다고 판단했다.

정부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 정부는 SK텔레콤 이용약관 제43조 제1항 제4호의 '회사의 귀책 사유로 인한 해지 시 위약금 면제' 조항을 적용할 수 있다고 판단했다.

다만 위약금 면제 판단은 이번 사례에 한정되며 모든 해킹사고에 동일하게 적용되지는 않는다고 선을 그었다.

유심정보 25종 유출…IMSI 기준 2696만건

앞서 조사단은 이번 SK텔레콤 침해사고가 국내 1위 이동통신사의 침해사고, 유심정보 유출로 인한 휴대폰 부정 사용 등 국민 우려 증가, 악성코드의 은닉성 등을 고려해 전체 서버 4만2605대를 대상으로 BPFDoor 및 타 악성코드 감염여부에 대해 조사를 벌였다.

조사 과정에서 확인된 감염서버는 포렌식 등 정밀분석을 통해 정보유출 등 피해발생 여부를 파악했다.

총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드인 CrossC2 1종, 슬리버 1종 등 총 33종을 확인했다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB(기가바이트), IMSI 기준 약 2696만건이다.

조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다.

4월 28일 서울 송파동의 한 SK텔레콤 직영점에서 유심을 교체하려는 고객들이 길게 줄지어 서있다.ⓒ데일리안 이주은 기자

정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것을 확인했다. 다만 악성코드 감염시점부터 로그기록이 없는 기간에는 유출 여부를 확인하는 것은 불가능했다.

공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일에 설치했다. 공격자는 같은 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정된다.

이후 공격자는 2022년 6월 12일과 22일 서버 접속 후, 악성코드(웹쉘, BPFDoor)를 설치했고 2023년 11월 30일부터 2025년 4월 21일에 걸쳐 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다.

이후 공격자는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보(9.82GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.

국내 통신업계 경종·정보보호 기업 경영 최우선으로

유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”면서 “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야할 것”이라고 말했다.

이와 함께 “다가올 AI 시대에는 사이버위협이 AI와 결합해 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다” 고 밝혔다.