'정보보호 의무 위반'…SKT에 위약금 면제 철퇴

유영상 SK텔레콤 대표가 지난 4월 유심 해킹 사고와 관련해 사과문을 발표하고 사과하고 있다.

SK텔레콤 해킹 사고로 10GB에 달하는 유심정보가 유출된 것으로 최종 확인됐다. 정부는 SK텔레콤이 정보보호에 필요한 책무를 다하지 못했다고 보고 가입자에 대한 위약금 면제와 재발방지 대책을 마련할 것을 지시했다. 이번 조사 결과에 따라 SK텔레콤은 위약금 면제에 따른 고객 이탈과 보상 대책 마련 등 막대한 손실이 불가피해졌다.

과학기술정보통신부는 4일 정부서울청사에서 브리핑을 열고 이같은 내용의 민관합동조사단 조사 결과와 약관상 위약금 면제 규정에 대한 검토 결과를 발표했다.

조사단은 전체 서버 4만2605대에 대한 정밀조사 결과 BPF도어 27종을 포함한 악성코드 33종을 발견했다. 최초 감염 시점도 당초 발표한 2022년 6월보다 1년가량 앞선 2021년 8월로 확인됐다.

공격자는 외부 인터넷과 연결된 시스템 관리망 내 서버에 침투한 뒤 악성코드를 설치, 음성통화가입자인증(HSS) 서버에 저장된 유심정보를 외부 유출했다.

유출된 정보는 전화번호, 가입자식별번호(IMSI) 등 유심정보 25종이다. 유출 규모는 9.82GB로 IMSI 기준 2696만건에 달했다.

단말기식별번호(IMEI)와 개인정보, 통화상세기록(CDR)도 암호화되지 않은채 평문으로 임시저장한 것으로 나타났다.

다만 조사단은 방화벽 로그기록이 남아있는 기간에는 유출 정황이 없지만 로그기록이 없는 기간 동안의 유출 여부는 확인할 수 없다고 밝혔다.

조사단은 SK텔레콤이 이번 사고에서 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등 정보보호 체계에 허점을 보였다고 지적했다. 특히 감염 정황을 발견했음에도 즉시 신고하지 않는 등 정보통신망법을 위반했고 다른 통신사와 달리 유심 인증키값도 암호화하지 않았다.

공급망 보안과 정보보호 거버넌스도 체계도 미흡한 것으로 나타났다. 또 제출을 앞둔 서버 2대를 임의조치하는 등 정부의 자료보전 명령도 위반했다. 이와 관련해 정부는 수사기관에 수사를 의뢰할 예정이다.

당국은 SK텔레콤 측에 정보보안 투자와 관리 체계를 강화하고 정보보호최고책임자(CISO)를 최고경영자(CEO) 직속 조직으로 격상하는 등 재발방지 대책을 마련할 것을 지시했다.

SK텔레콤이 유심정보 보호를 위한 주의의무를 다하지 않고 관련 법령도 미준수한 것으로 나타나면서 위약금 면제 책임도 떠안게 됐다.

과기정통부는 SK텔레콤 위약금 면제 규정 적용 여부에 대한 법률 자문을 진행한 결과 면제 적용이 가능하다는 자문을 받았다고 밝혔다.

이번 침해사고에서 SK텔레콤의 과실이 확인된데다, 안전한 통신서비스를 제공해야 할 사업자의 의무를 다하지 못한 만큼 이용약관상 위약금 면제 조건인 회사의 귀책사유에 해당한다는 판단이다.

다만 과기정통부는 이번 위약금 면제 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며 다른 사이버 침해사고에 해당한다는 의미는 아니라는 점을 명확히했다.

유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”면서, “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다.

박준호 기자 junho@etnews.com