SKT, 유심 해킹 신고 24시간 내 규정 위반 했나 … “고의적 지연 아니다”

SK텔레콤의 사상 초유 유심 정보 일부 유출 사고 과정에서 신고가 지연된 것으로 나타났다. 이는 사고 인지 시점으로부터 24시간 이내 신고해야 하는 규정을 위반한 정황이 드러났다. 회사 측은 고의적 지연은 아니었다는 입장이다.

24일 SKT에 따르면 회사는 지난 18일 오후 6시께 사내 시스템 데이터의 이동을 최초 인지했다. 이후 5시간 뒤인 오후 11시 20분, 악성코드를 발견하고 해킹 공격을 받았다는 사실을 확인했고 다음날인 19일 오전 1시 40분까지 어떤 데이터가 빠져나갔는지 분석을 진행했다.

SKT가 유심 관련 일부 정보가 유출된 정황을 확인한 것은 이로부터 22시간 뒤인 19일 오후 11시 40분이다. 

이후 SKT가 한국인터넷진흥원(KISA)에 신고한 시점은 20일 오후 4시 46분으로 최초 인지 시점에서 24시간이 크게 넘었다. 해킹 공격을 인지한 시점으로 보더라도 만 하루가 넘은 시점이었다.

정보통신망법에는 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야하는 의무를 두고 있다.

SKT 관계자는 “침해 사고로 판단 후 24시간 이내 KISA에 침해 사고 신고 하지 못한 부분은 사안의 중대성을 고려해 신고에 필요한 최소한 발생원인과 피해내용을 좀 더 철저히 조사하는 과정 때문에 신고가 조금 늦어졌기 때문”이라며 “고의적인 지연 의도는 전혀 아니다”라고 말했다.