정부 “SKT, 해킹 피해 고객 위약금 면제해야”

지난 5월 1일 인천국제공항 제1여객터미널 SK텔레콤 로밍센터에서 여행객들이 유심 교체를 위해 대기하고 있다./뉴스1

SK텔레콤 해킹 사태로 번호를 이동하려는 고객들에게는 위약금을 물어서는 안 된다는 정부 조사 결과가 나왔다. 또 침해 사고 대응 과정에서 SK텔레콤이 자료보전 명령을 따르지 않았다며 수사를 의뢰할 방침이라고 정부는 밝혔다.

4일 과학기술정통부가 구성한 민관합동조사단은 SK텔레콤 해킹 관련 최종 조사 결과를 발표했다. 조사 결과 SK텔레콤이 유심 정보를 보호하는 데 미흡했고, 이 과정에서 정보통신망법을 위반한 사실이 확인된다며 이번 해킹 사고에 SK텔레콤의 과실이 있다고 봤다. 이에 따라 위약금 면제가 가능하다는 판단이다.

국내 통신 3사는 일정 기간 통신사를 바꾸지 않겠다고 약정하는 고객에게 핸드폰 구입비 지원이나 이용 요금 할인 등을 제공하고 있다. SK텔레콤은 이용 약관에서 ‘회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 납부할 의무가 면제된다’고 규정하고 있는 데, 해킹 사고에 있어 SK텔레콤의 과실이 인정되는 만큼 이번 사태로 통신사를 바꾸려는 고객에게 위약금을 물어서는 안 된다는 것이다. 지난달 유영상 SK텔레콤 대표는 국회 청문회에서 “1인당 위약금을 최소 10만원으로 본다면, 위약금과 매출까지 고려해 3년간 7조원 이상의 손실이 예상된다”고 밝힌 바 있다.

조사단은 SK텔레콤의 서버(4만2605대)를 전수조사한 결과 감염 서버가 28대, 악성코드가 33종으로 확인됐다고 밝혔다. 지난달 2차 조사(감염 서버 23대, 악성코드 25종) 발표보다 확대됐다. 다만 유출된 정보 종류는 전화번호, 가입자식별번호 등 25종으로 동일했다. 최초 감염 시점에 대해서는 기존 2022년 6월보다 빠른 2021년 8월로 분석했다.

이번 조사 결과 조사단은 SK텔레콤이 계정 정보를 부실하게 관리해 감염이 가능했고, 2022년 2월에도 침해 사고가 있었음에도 미흡하게 대응해 이번 해킹 사고를 막을 수 있는 기회를 놓쳤다고 봤다. 또 유심 복제에 활용될 수 있는 유심인증키 값을 암호화하지 않고 저장해 문제가 있다고 봤다.

이 외에 정보통신망법 위반 사항도 있다고 지적했다. 우선 정보통신망법에 따르면 침해 사고를 인지한 뒤 24시간 이내 과기정통부나 한국인터넷진흥원에 신고하도록 하고 있는 데, SK텔레콤의 신고가 늦었던 만큼 과태료 부과 대상이라는 판단이다. 조사단은 정보통신망법 76조에 따라 3000만원 이하의 과태료를 부과할 수 있다고 밝혔다. 또, 과기정통부가 침해 사고 원인 분석을 위해 자료 보전을 명령했으나, SK텔레콤이 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다며 수사기관에 수사를 의뢰할 방침이라고 밝혔다.