| 스마트에프엔 = 양대규 기자 | 정부가 SK텔레콤 해킹 사건에 대해 최종적으로 '명백한 과실'이라고 결론 내렸다. 유심정보 등 2700만건에 달하는 가입자 데이터가 유출된 이번 사태는 계정정보 평문 저장, 미흡한 사고 대응, 암호화 부재 등 총체적인 보안관리 실패로 밝혀졌다.
과학기술정보통신부는 이에 약관상 위약금 면제 조항이 적용 가능하다고 판단했다.
4일 과기정통부가 공개한 민관합동조사단 조사결과에 따르면 SK텔레콤 전체 서버 4만2605대 중 28대가 악성코드에 감염됐고 총 33종의 악성코드가 발견됐다. 유심 내 가입자 식별번호(IMSI) 등 25종의 정보, 총 2,696만 건, 9.82GB 규모의 데이터가 유출됐다. SK텔레콤 음성통화인증 서버에 저장된 유심정보를 통해 외부로 유출된 것으로 조사됐다.
민관합동조사단은 다음과 같은 핵심적인 문제점을 지적했다.
먼저 계정정보 평문 저장이다. 서버 간 접근 권한을 위해 ID·비밀번호를 텍스트 형태로 저장해두어 공격자에게 손쉽게 악용됐다는 것이다.
또한 과거 침해사고 신고를 누락했다. 2022년에도 비슷한 악성코드 침입 정황이 있었지만, SK텔레콤은 이를 신고하지 않고 방치했다는 설명이다.
또한 유심 인증키 암호화가 미흡했다. KT, LG유플러스와 달리 Ki값을 암호화하지 않은 점도 유출 피해를 키운 요인으로 꼽혔다.
SK텔레콤은 정보통신망법상 의무를 다하지 않은 것으로 지적됐다. ▲24시간 내 신고 의무를 어겨 침해사고 신고 지연 및 미신고 ▲일부 서버는 조치 후 제출해 포렌식 불가능 상태로 자료보전 명령 위반을 하며 망법상 준수 의무 2가지를 위반한 것이다. 이에 따라 과태료가 부과될 예정이며, 수사기관에 수사의뢰도 진행된다.
과기정통부는 SK텔레콤 약관상 ‘회사의 귀책 사유로 인한 해지 시 위약금 면제’ 조항이 해당 사건에 적용된다고 판단했다. SK텔레콤 이용약관은 ʽ회사의 귀책 사유ʾ로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.
법률 자문 결과, 5개 기관 중 4곳이 이번 침해사고를 SK텔레콤의 과실로 판단했고 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.
과기정통부는 ▲이번 침해사고에서 SK텔레콤의 과실이 발견된 점 ▲SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.
다만 정부는 “이번 판단은 SKT 사건에 한정된 것이며, 모든 사이버 침해사고에 일반 적용되는 기준은 아니다”고 덧붙였다.
유상임 장관 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 기반 전반의 정보보호에 경종을 울리는 사고였다"며 “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다.
- "SK텔레콤, 해킹 민관합동 조사 결과 발표 '임박'...관심은 보상안"
- 이동통신 3사의 LLM, 각기 다른 ‘소버린 AI’ 해법
- 배경훈 과기정통부 장관 후보 "국가R&D 예산조정안 우선처리, 추후조정"
- SK텔레콤, 해킹 후 KT에 부문 브랜드가치 1위 내줘
- 배경훈 과기정통부 장관 후보자 "보안에서 제일 중요한것은 사전 예방"
- SK텔레콤, '공시지원금 ’ 인상으로 해킹 이탈 고객 붙잡아
- 정부 "SK텔레콤, 2021년부터 해커 침투 징후···대응 허술해”
- SK텔레콤, 약정 해지 고객 위약금 면제안 발표
- 유영상 SK텔레콤 "7천억원 투자 ‘강한 보안 기업’으로 거듭날 것"
- 유영상 SKT 대표 "전 고객 대상 할인·데이터 제공···위약금도 책임질 것"
- SK텔레콤, 위약금 없이 해지 어떻게? "14일까지 신청 시 환급"
- 공짜폰 등장, 통신 3사 경쟁 '점입가경'··· SKT 위약금 면제·단통법 폐지 맞물려