정부가 대규모 해킹 사고로 약 2700만건의 유심 정보를 유출한 SK텔레콤에 대해 '위약금 면제'라는 제재 조치를 내린 가운데 SK텔레콤은 향후 5년 동안 7000억원 규모의 대규모 정보보호 투자를 단행하고 보안 조직도 대폭 강화하겠다며 신뢰 회복에 나섰다.사진은 지난 6월29일 서울 시내 한 SK텔레콤 대리점의 모습. /사진=뉴스1

정부가 대규모 해킹 사고로 약 2700만건의 유심 정보를 유출한 SK텔레콤에 대해 '위약금 면제'라는 제재 조치를 내렸다. SK텔레콤이 이를 따르지 않을 경우 전기통신사업법에 따라 시정명령을 내리는 한편 최악의 경우 기간통신사업자 등록 해제까지 검토하겠다는 강경한 입장을 밝혔다. 이로써 이번 해킹 사고로 유출된 유심 정보 약 2700만건에 해당하는 가입자 전원이 위약금 면제 대상이 됐다. 다만 이번 해킹으로 유출된 유심 정보를 활용해 복제폰을 만드는 등의 피해는 발견되지 않은 것으로 나타났다. SK텔레콤은 향후 5년 동안 7000억원 규모의 대규모 정보보호 투자를 단행하고 보안 조직도 대폭 강화하겠다며 신뢰 회복에 나섰다.

과학기술정보통신부는 4일 SK텔레콤 해킹 사고에 대한 민관합동조사단 최종 조사 결과 발표에서 SK텔레콤의 전체 서버 4만2605대를 조사한 결과 28대 서버에서 악성코드 33종이 발견됐다고 밝혔다. 유출된 정보는 전화번호와 가입자식별번호(IMSI), 인증키 2종 등 유심 정보 25종이다. 총 9.82GB 규모로 IMSI 기준 약 2696만건이 유출돼 사실상 국민의 절반이 피해를 입은 셈이다. 다만 피해 사례는 발견되지 않은 것으로 나타났다. 류제명 과기정통부 제2차관은 "유심 복제 실마리는 발견하지 못했다"며 "유심보호서비스와 FDS(비정상인증차단시스템) 고도화로 피해를 차단하고 있다고 판단한다"고 말했다.


감염 대상에는 이름·생년월일·전화번호·이메일 등 개인정보와 단말기식별번호(IMEI), 통화기록(CDR)이 암호화되지 않은 평문으로 임시 저장된 서버가 포함됐다. 정밀 분석 결과 IMEI는 2024년 12월 3일부터 CDR은 2024년 12월 9일부터 현재까지 유출되지 않았으나 그 이전 유출 여부는 로그 기록이 없어 확인이 불가능하다. 특히 CDR은 정부 고위층의 통화 상대와 동선 등을 파악할 수 있어 국가안보에 위협이 될 수 있다는 우려가 컸다.

앞서 과기정통부 민관합동조사단은 지난 4월23일부터 지난달 27일까지 6차례에 걸쳐 SK텔레콤의 서버를 전수조사했다. 통상 사이버 침해 사고 발생 시 20인 이내로 민관합동조사단이 100여대의 서버를 점검하는 것과 달리 이번엔 과기정통부 24명, 한국인터넷진흥원 70명이 투입돼 강도 높은 조사를 진행했다. KT와 LG유플러스도 이에 준하는 실태점검을 진행했으나 피해 사례는 나오지 않았다.

정부 "SKT, 2022년 2월23일 악성코드 감염 서버 발견하고도 신고 않아"

과학기술정보통신부는 이번 해킹 사고의 원인으로 ▲계정 정보 부실 관리 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 SK텔레콤의 총체적 보안 실패를 지적했다. 사진은 SK텔레콤 해킹 사고에 대한 민관합동조사단 최종 조사 관련 회의가 진행되는 국회 소회의실의 모습. /사진-김성아 기자

과학기술정보통신부는 이번 해킹 사고의 원인으로 ▲계정 정보 부실 관리 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 SK텔레콤의 총체적 보안 실패를 지적했다. SK텔레콤이 음성통화 인증(HSS) 관리 서버의 계정 정보를 평문으로 저장했으며 해킹 사태 초기인 2022년 2월23일 악성코드 감염 서버를 발견하고도 과기정통부에 신고하지 않았다는 이유다. 이는 정보통신망법상 '지체 없는 신고' 의무를 위반한 것으로 정부는 3000만원 이하 과태료를 부과할 방침이다.

당시 SK텔레콤은 HSS 관리 서버에 비정상 로그인 시도 정황을 포착했으나 관련 로그 6개 중 1개만 분석해 해커의 서버 접속을 파악하지 못했다. 해킹 사실을 조기에 인지했다면 대규모 유출은 막을 수 있었다는 지적이다. 또 KT, LG유플러스는 인증키 값을 암호화했지만 SK텔레콤은 이를 생략해 보안 취약성을 키웠다는 비판도 받았다.


자료 보전 명령 위반도 드러났다. 과기정통부 조사단은 해킹 분석을 위해 SK텔레콤에 서버 자료 보전을 요구했으나 SK텔레콤 측은 포렌식이 불가능한 상태로 서버 2대를 임의 조치해 제출한 사실이 확인됐다. 이는 정보통신망법상 2년 이하 징역 또는 2000만원 이하 벌금 대상에 해당하며 정부는 수사를 의뢰할 예정이다.

정보보호 체계 전반의 허술함도 지적됐다. SK텔레콤의 정보보호 인력은 100만명당 15명으로 업계 평균(17.7명)을 밑돌았고 정보보호 투자액 역시 37.9억원으로 평균(57.4억원)에 크게 못 미친다. SK텔레콤은 보안 점검 항목에서 탐지 용이한 웹쉘을 누락했고 마스킹 규칙 등 민감 정보를 임시 저장 서버에 보관했다. 협력사 소프트웨어는 사전 검사 없이 88대 서버에 설치돼 악성코드 유입 경로가 됐다. CISO(최고정보보호책임자)는 IT망만 담당하고 통신망 보안에는 관여하지 않았으며 방화벽 로그도 규정(6개월)보다 짧은 4개월만 보관됐다.

정부 "SKT, 위약금 면제 이행 않으면 시정명령·등록취소 검토"

과기정통부는 이같은 민관합동조사단의 조사 결과를 발표하며 "이번 침해사고에서 SK텔레콤의 과실이 발견됐고 SK텔레콤이 계약상 주된 의무인 '안전한 통신서비스 제공'을 다하지 못했다는 점을 고려할 때 이번 사고는 약관상 위약금 면제 사유인 '회사의 귀책사유'에 해당한다"고 설명했다. SK텔레콤 이용약관 제43조에는 '회사의 귀책 사유로 인해 이용자가 서비스를 해지할 경우 위약금을 면제한다'는 내용이 명시돼 있다.

정부는 사고 초기 4개 기관으로부터 자문을 받아 '위약금 면제 적용이 가능하다'는 법률 해석을 확보했고 민관합동조사단 활동이 마무리되는 시점에 추가로 5개 법률기관에 자문을 요청해 이 중 4곳에서 다시 '면제 가능' 판정을 받았다고 설명했다. 나머지 1곳은 판단을 유보했다.

과기정통부는 만약 SK텔레콤이 위약금 면제 조치를 이행하지 않을 경우 전기통신사업법 제92조 제1항 제2호에 따라 "사업자의 업무처리 절차가 이용자의 이익을 해쳤다"고 보고 시정명령을 내릴 방침이다. 이마저도 정당한 사유 없이 따르지 않을 경우 같은 법 제20조 제1항에 따라 등록의 전부 또는 일부를 취소할 수 있다는 설명이다. SK텔레콤이 자칫 기간통신사업자 지위를 박탈당할 수 있는 위기에 몰린 셈이다.

한편 휴대폰 외에 IPTV나 인터넷 해지 시에도 위약금 면제가 적용될 수 있는지에 대해서는 과기정통부도 신중한 입장을 보였다. 류 차관은 "사업자와 이용자 간 계약이 각각 개별적이고 특수하기 때문에 정부가 일률적으로 판단하기는 어렵다"며 "SK텔레콤이 위약금 면제 조치를 수용한다면 이후 구체적인 기준과 절차를 마련할 것"이라고 밝혔다.

SKT, 정보보호 혁신안 발표…이종현 신임 CISO 선임·CEO 직속 조직 격상

과학기술정통부의 발표 직후인 이날 오후 4시30분, SK텔레콤은 지난 4월18일 자정 기준으로 가입돼 있던 고객 중 유심 정보 유출 사고 이후 해지했거나 오는 14일까지 해지 예정인 고객에 대해 위약금을 면제하겠다고 밝혔다.사진은 유영상 SK텔레콤 대표이사가 4일 서울 중구 SKT타워에서 열린 기자회견에서 정부의 해킹 사태 관련 최종 조사결과 발표 관련 입장 및 향후 계획을 발표하고 있는 모습. /사진=뉴스1

과학기술정통부의 발표 직후인 이날 오후 4시30분, SK텔레콤은 지난 4월18일 자정 기준으로 가입돼 있던 고객 중 유심 정보 유출 사고 이후 해지했거나 오는 14일까지 해지 예정인 고객에 대해 위약금을 면제하겠다고 밝혔다. 면제 대상에는 단말기 지원금 반환금과 선택약정할인 반환금이 포함된다. 다만 단말기를 할부로 구매한 경우 잔여 할부금은 면제 대상에 해당하지 않는다. 이미 위약금을 납부한 고객은 환급 신청을 통해 돌려받을 수 있으며 구체적인 방법은 T월드 홈페이지를 통해 안내될 예정이다.

SK텔레콤은 기존 고객을 위한 대규모 보상안도 함께 발표했다. 오는 15일 0시 기준으로 SK텔레콤 또는 SKT 망을 사용하는 알뜰폰 고객 등 약 2400만명이 보상 대상이다. 이들에게는 ▲8월 통신요금 50% 할인 ▲8월부터 연말까지 매월 데이터 50GB 추가 제공 ▲다양한 제휴사에서의 T멤버십 50% 할인 등 총 5000억원 규모의 '감사 프로그램'이 제공된다. T멤버십 할인은 SK텔레콤 신규 가입자에게도 적용된다. 아울러 해지 이후 6개월 이내에 재가입한 고객에게는 별도 절차 없이 기존 가입 연수와 멤버십 등급이 복구된다.

이와 함께 SK텔레콤은 '정보보호 혁신안'도 발표했다. 향후 5년동안 총 7000억원을 투자해 최고 수준의 보안 인력을 영입하고 내부 전담 조직을 두 배로 확대할 계획이다. 보안 시스템 및 기술 강화도 병행되며 정보보호 산업 생태계 조성을 위해 100억 원 규모의 전용 기금도 출연할 예정이다.

보안 조직도 대폭 강화된다. SK텔레콤은 아마존 보안 엔지니어링 디렉터, 삼성전자 보안담당 임원, 캐나다 주정부 정보보호최고책임자(CISO) 등을 역임한 이종현 박사를 신임 CISO로 영입했다. CISO 조직은 최고경영자(CEO) 직속으로 격상되며 이사회에도 보안 전문가를 새롭게 영입해 책임과 감시 기능을 강화할 방침이다.

유영상 SK텔레콤 대표는 "믿고 기다려주신 고객에 대한 감사와 이번 사고에 대한 책임을 다하겠다는 뜻으로 '책임과 약속' 프로그램을 마련했다"며 "이번 침해사고에 대해 다시 한 번 깊이 사과드리며 고객이 안심하고 서비스를 이용할 수 있도록 최고 수준의 정보보호 체계를 구축하겠다"고 말했다.