1위 SKT의 반전 민낯··· '관리부실·대응미흡·법 위반'도 1등

정부가 최근 SK텔레콤(이하 SKT)에 발생한 유심 해킹사건이 사측의 귀책 사유에 해당한다고 판단, 보안 강화와 함께 서비스 해지시 발생하는 위약금을 면제해야 한다고 판단했다. 

과학기술정보통신부가 구성한 SKT 침해사고 민관합동조사단은 4일 정부서울청사에서 SKT 사이버침해사고 관련 최종 조사 결과를 발표했다.

조사단은 이날 SKT의 전체 서버 4만 2605대를 대상으로 악성코드 감염여부를 조사, 총 28대의 서버에서 33종의 악성코드를 확인했다고 밝혔다. 지난 5월 20일 중간 조사 당시 발표한 규모(감염서버 23대, 악성코드 25종)보다 늘어난 결과다.

유출된 정보는 전화번호 등 유심정보 25종으로, 유출규모는 9.82GB, 가입자 식별번호 기준으론 약 2696만건으로 조사됐다. 통화상세기록 유출은 확인 되지 않은 것으로 나타났지만, 로그기록이 남아있지 않은 2년 반 동안에는 유출 여부를 확인이 불가능해 유출여부를 알 수 없게 됐다.

특히 조사단은 SKT가 ▲계정정보 관리를 부실하게 했으며 ▲자체 조사로 해커의 사이버 공격을 발견하고도 제대로 대응하지 않은 점 ▲주요 정보 암호화 조치가 미흡했던 점을 사고 원인으로 꼽았다.

우선 SKT는 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 감염이 확인된 음성통화인증 관리버서 계정정보를 타 서버에 평문으로 저장한 것으로 나타났다. 

또한 SKT는 사이버 공격 사태를 조기에 발견하고도 이를 신고하지 않은 것으로 밝혀졌다. 해커의 최초 공격은 2021년 8월 6일로 파악됐다. 중간 조사 발표 당시 최초 감염 시점은 2022년 6월이었다.

SKT는 지난 2022년 2월 23일 특정서버에서 비정상적인 재부팅 현상을 발견하고 자체 점검을 실시했다. 해당 과정에서 악성코드에 감염된 서버를 발견, 조치했으나 정부에 신고 의무를 다하지 않은 것이다.

SKT는 올해 4월 유심 해킹 피해가 알려졌을 당시에도 신고기한 24시간을 넘겨 신고하면서 사태를 속이거나 감추려 했던 것이 아니냐는 의혹을 사기도 했다.  이에 과학기술정보통신부는 SKT에 대해 "신고 의무를 지키지 않아 3천만원 이하 과태료 부과 할 것"이라고 밝혔다.

또 조사단은 SKT가 시스템 관리망 내 서버의 계정 비밀번호의 만료일을 설정하지 않았고 변경 이력도 없다는 점을 꼬집었다. 이와 함께 유심 인증키(Ki) 값 암호화를 하지 않은 점, 유심 해킹 발견 이후 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 제출했다는 점을 지적했다. 조사단은 자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정이라고 밝혔다. 

이에 과학기술정보통신부는 재발 방지를 위해 SKT에 분기별 1회 보안 정기 점검, 보안솔루션 도입 등 보안 정책 강화, 정보호책임자 CEO 직속 조직으로 강화, 방화벽 로그 기록 6개월 이상 보관 및 중앙로그관리 시스템 구축, 정보보호 강화에 대한 인력 및 예산 확대 등을 권고했으며, 재발방지대책에 따른 이행 계획을 7월 제출토록할 방침이다.   

이와 함께 과학기술정보통신부는 이러한 SKT의 과실이 발견된 점을 근거로 SKT가 계약상 주된 의무를 다하지 못한 점을 이유로 위약금 면제 규정이 적용가능하다고 판단했다.

SKT 이용약관 제43조 4항에는 회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다. 과학기술정보통신부는 “조사단의 조사결과, 이번 침해사고와 관련해 SKT의 정보 보안에 문제가 있었으며, 이 과정에서 SKT의 정보통신망법 위반 사실도 확인됐다”며 “SKT는 안전한 통신서비스 제공을 위한 유심정보 보호와 관련해 사업자의 주의의무를 다하지 못했을 뿐만 아니라 법령이 정한 기준을 미준수했으므로, SKT 과실이 있다고 판단했다”고 설명했다.