과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 이용자가 계약을 해지할 경우 위약금 면제 규정이 적용될 수 있다는 판단을 내렸다. 사진은 4일 오전 11시30분께 5차 TF회의가 진행되고 있는 소회의실의 모습. /사진=김성아 기자

과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 이용자가 계약을 해지할 경우 위약금 면제 규정이 적용될 수 있다는 판단을 내렸다. SK텔레콤이 정보유출 사고에 대한 과실이 발견됐고 안전한 통신서비스 제공이라는 계약상 의무를 다하지 못했다는 이유에서다. 이로써 SK텔레콤 유심 해킹 사고 이후 타 통신사로 번호이동을 했거나 향후 이동하는 가입자들의 위약금 부담은 사라지게 될 것으로 보인다.

4일 과기정통부는 정부서울청사에서 SK텔레콤 유심정보 유출 사고에 대한 민관합동조사단의 조사 결과 발표하고 "이번 사고는 '회사의 귀책 사유'에 해당한다"고 밝혔다. SK텔레콤 이용약관 제43조는 회사의 귀책 사유로 인해 이용자가 해지할 경우 위약금을 면제한다고 명시돼 있다.


과기정통부는 SK텔레콤 이용약관 제43조를 근거로 이 사고에 위약금 면제 조항이 적용될 수 있는지 여부를 다수 법률기관에 자문했다. 침해사고 직후 4개 기관으로부터 1차 자문을 받았다. 이후 SK텔레콤 침해사고 민관합동조사단의 조사 결과를 토대로 5개 기관에 추가 자문을 요청했다.

이 가운데 4개 기관은 SK텔레콤의 과실로 판단했다. 유심 정보 유출은 '안전한 통신서비스 제공'이라는 계약에 대한 의무 위반이라는 것이다. 이에 4개 기관은 위약금 면제 규정 적용이 가능하다는 의견을 냈다. 다른 기관 1곳은 현재 자료로는 판단이 어렵다며 결정을 유보했다.

SK텔레콤이 위약금 면제를 받아들일 경우 천문학적 손실이 불가피하다. 앞서 유영상 SK텔레콤 대표는 지난 5월 국회 청문회에서 "고객 1인당 평균 위약금을 10만원으로 추산할 경우 약 250만명 면제 시 2500억원 이상의 직접 손실이 발생한다"며 "가입자 이탈로 인한 매출 감소까지 고려하면 3년간 총손실 규모는 7조원을 넘을 수 있다"고 우려했다.

"계정정보 관리 부실·암호화 미흡 등 복합 과실 인정"

합동조사단은 해킹 공격을 받은 총 28대 서버에 대한 포렌식 분석했고 그 결과 SK텔레콤은 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요 정보의 암호화 조치 부족 등 정보보호 시스템 전반에서 다수의 허점을 드러냈다고 했다. 사진은 SK텔레콤 유심 해킹 사태 관련 민관합동조사단이 조사 결과를 발표한 4일 서울 종로구 SK텔레콤 대리점 모습. /사진=뉴시스

과기정통부는 "이번 침해사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과 SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실도 확인했다"고 설명했다.


합동조사단은 해킹 공격을 받은 총 28대 서버에 대한 포렌식 분석했고 그 결과 SK텔레콤은 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요 정보의 암호화 조치 부족 등 정보보호 시스템 전반에서 다수의 허점을 드러냈다고 했다. 이로 인해 악성코드 33종이 확인됐고 전화번화와 가입자 식별번호(IMSI) 등 총 9.82GB 규모의 민감 정보가 유출됐다. 또 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실도 확인됐다.

이번 침해사고로 유출된 유심 정보는 이동통신망에 접속하거나 전화를 걸고 문자를 보낼 수 있는 민감한 정보다. 별도의 보호 조치가 없다면 제3자가 유심을 복제해 이용자의 전화번호로 통신서비스를 이용하거나 이를 가로챌 수 있다.

다만 과기정통부는 "이번 판단은 SK텔레콤 침해사고에 한정되는 것이며 모든 사이버 침해사고에 일반 적용되는 기준은 아니다"고 덧붙였다

정부 "정보보호 투자 확대 등 재발방지 촉구"

과학기술정보통신부가 SK텔레콤 유심 정보 유출 사고와 관련해 "위약금 면제가 가능하다"는 해석을 내리면서 약정 기간 중 KT·LG유플러스·알뜰폰 등 타 통신사로 번호이동을 할 경우에도 위약금 부담 없이 이동할 수 있게 됐다. 이번 조치는 사고 이후 이미 타사로 옮긴 가입자에게도 소급 적용될 전망이다. 앞서 SK텔레콤은 지난 5월8일 열린 국회 과학기술정보방송통신위원회 청문회에서 "1인당 평균 해지 위약금은 10만원 수준으로 예상한다"라고 밝힌 바 있다.

과기정통부는 이번 사고의 재발을 막기 위해 ▲계정정보 암호화 ▲다중인증 도입 ▲침해사고 신고 의무 준수 ▲주요 정보 암호화 강화 ▲보안 솔루션 확대 ▲공급망 보안 체계 구축 ▲정보보호 최고책임자(CISO) 권한 강화 ▲로그 기록 최소 6개월 이상 보관 ▲정보보호 인력 및 투자 확대 등의 대책을 SK텔레콤에 요구했다.

정부는 SK텔레콤이 이행계획을 제출하도록 한 뒤 실제 이행 여부를 점검할 예정이다. 만일 계획이 미이행될 경우 정보통신망법에 따라 시정조치를 명령할 수 있다. 이와 함께 과기정통부는 국회 TF와 협의해 통신망 보호를 위한 법·제도 개선과 민간 정보보호 투자 확대 방안도 논의할 계획이다.

유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"면서 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 말했다.