민관합동조사단 조사 결과·위약금 면제 규정 검토 결과 발표
SKT, 중요 자료 암호화 안하고 정부의 자료 보전 명령도 위반

정부가 SK텔레콤 해킹 사고에 대해 회사 측의 “과실이 있었다”면서 “위약금 면제 적용이 가능하다”는 판단을 내렸다. 사진은 지난달 24일 서울 중구 삼화타워에서 열린 사이버 침해 사고 일일 브리핑에서 임봉호 MNO(이동통신) 사업부장이 영업 재개 등에 대해 발언하는 모습. 연합뉴스

정부가 SK텔레콤 해킹 사고에 대해 회사 측의 “과실이 있었다”면서 “위약금 면제 적용이 가능하다”는 판단을 내렸다. SK텔레콤이 주요 정보를 암호화하지 않은 등의 문제가 확인돼 ‘안전한 통신서비스를 제공’ 의무를 다하지 못했다는 게 정부의 판단이다.

과학기술정보통신부는 SK텔레콤 해킹 사고에 대한 민관합동조사단의 조사 결과와 위약금 면제 규정에 대한 검토 결과를 4일 발표했다. 조사단은 이번 해킹 사고 조사를 통해 총 28대 서버에서 악성코드 33종을 확인했다고 밝혔다. 23대 서버에서 25종의 악성코드를 발견했다는 2차 조사결과(지난 5월 발표)에 비해 감염 서버와 악성코드가 늘었다. 최초 감염 시점도 2차 결과발표에서는 2022년 6월이라고 밝혔으나 이번 발표에서는 2021년 8월로 당겨졌다. 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일 설치했다.

조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버(1대)도 발견했다. 그러나 악성코드 감염시점부터 로그기록이 없는 기간이 길어 이 기간에 대해선 IMEI나 CDR 유출 여부를 확인할 수 없었다.

조사단은 SK텔레콤에 대해 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등 3가지 문제점이 있었다고 밝혔다. 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하지만 이번에 감염이 확인된 서버에는 계정정보를 평문으로 저장한 사실이 확인됐다.

SK텔레콤은 이미 2022년 2월 점검 과정에서 악성코드에 감염된 서버를 발견했지만 정보통신망법에 따른 신고 의무를 이행하지 않은 사실도 드러났다. SK텔레콤은 또 유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값을 암호화하지 않았다. 경쟁 통신사들(KT, LG유플러스)은 이를 암화화해 저장하고 있다.

SK텔레콤은 침해사고 대응과정에서도 지연과 미신고, 자료보전 명령 위반 등의 문제점을 드러냈다. 정보통신망법에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국인터넷진흥원(KIS)A에 신고해야 하지만 SK텔레콤은 24시간이 지난 후 신고했다. 또, 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다.

과기정통부가 사고 원인 분석을 위해 자료 보전을 명령내렸지만 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다. 정부는 자료보전 명령 위반과 관련, 수사기관에 수사를 의뢰할 예정이라고 밝혔다.

과기정통부는 해킹 사고와 관련 SK텔레콤 이용약관상 위약금 면제 규정 적용 여부 검토를 위해 법률 자문을 진행한 결과 회사 측의 과실이 있었다고 판단했다. 계정정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 등의 문제점이 있고 정보통신망법을 위반한 사실도 확인됐기 때문이다. SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다는 게 과기정통부의 판단이다.

유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사고였다”고 밝혔다. 유 장관은 “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보 보호를 기업 경영의 최우선 순위로 둬야 할 것”이라며 “정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있게 지원하겠다”고 밝혔다.·

정부가 위약금 면제 가능 판단을 내리면서 SK텔레콤에서 약정기간이 남이 있는 가입자들이 대거 다른 통신사로 이동할 가능성이 제기된다. 그러나 SK텔레콤이 정부의 약관 해석에 대해 법적 대응에 나설 경우 위약금 면제에 대한 최종 판단은 법원이 내릴 가능성이 높다. 다만 정부가 SK텔레콤의 귀책사유를 확인해 소송에서도 회사 측이 불리할 수 있다.

김종우 기자 kjongwoo@busan.com