과기정통부 “SKT 과실로 위약금 면제 귀책사유 해당된다”

과학기술정보통신부가 SK텔레콤 해킹 조사 발표를 통해 미흡한 대응으로 약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.

과기정통부는 4일 SK텔레콤 사이버 침해 사고 관련 민관합동조사단 조사 결과를 발표했다.

조사 결과에서 주목됐던 부분은 SK텔레콤에서 타 통신사로 이동하는 고객에 대한 위약금 면제 여부다. 침해사고 과정에서 SK텔레콤의 과실이 인정된다면 위약금 면제가 가능해질 것으로 내다봤다.

과기정통부는 침해사고와 관련해 SK텔레콤의 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요정보 암호화 조치 미흡 등 문제점과 더불어 정보통신망법 위반을 지적했다. 또한 SK텔레콤이 유심정보 보호를 위해 FDS와 유심보호서비스를 운영중이었으나, 유심복제 가능성을 차단하는데는 한계가 있었던 상황으로 파악했다.

이용약관 상 위약금 면제 규정 적용 여부에 대한 법률 자문 결과도 공유됐다. 과기정통부가 의뢰한 5개 기관 중 4곳은 이번 침해사고를 SK텔레콤 과실로 판단해 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.

과기정통부는 약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다. 침해사고에서 SK텔레콤의 과실이 발견된 점과 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 부분을 고려해야한다는 점에서다.

조사단은 감염 현황과 정보유출 규모, 사고 원인 등에 대한 종합 결과를 발표했다. 이번 침해사고로 공격받은 총 28대 서버 포렌식 분석 결과 악성코드 33종을 확인했다. 유출된 정보는 전화번호와 가입자 식별번호(IMSI) 등 유심정보 25종이며, 단말기식별번호와 개인정보에 대한 자료유출 정황은 없는 것으로 확인됐다.

공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망을 통해 악성코드를 설치한 것으로 파악된다. 최초 확인된 악성코드 설치 시점은 2021년 8월 6일로, 공격자는 평문으로 저장된 계정정보를 활용해 관리망 내 다른 서버에 접속 후 악성코드를 추가 설치했다. 이후 공격자는 올해 4월 18일 HSS 3개 서버에 저장된 유심정보를 외부 인터넷과 연결된 서버를 거쳐 유출했다.

과기정통부는 악성코드 감염 경위와 관련해 SK텔레콤의 ▲계정정보 관리 부실 ▲침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점을 지적했다. 서버에 비밀번호 기록과 저장을 제한 또는 암호화하고, 침해사고 발생 시 법령에 따른 신고 의무를 준수해야한다는 설명이다. 또한 유심 복제에 활용될 수 있는 유심 인증키 값을 암호화하는 등 주요 정보를 암호화해서 저장할 것을 권고했다.

침해사고 대응 과정에서의 신고 지연과 미신고에 대해서도 지적했다. SK텔레콤은 최초 침해사고를 인지한 후 24시간 내 과기정통부 또는 KISA(한국인터넷진흥원)에 신고했어야 하나 이를 어겨 3000만원 이하 과태료를 부과할 방침이다. 또한 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 조사단에 제출해 자료보전 명령 위반과 관련한 수사도 병행해서 이뤄질 예정이다.

과기정통부는 SK텔레콤에 재발방지 대책과 이행계획을 이달 중 제출토록 하고, 이후 11월부터 이행 여부를 점검한다는 계획이다.

유상임 과기정통부 장관은 “SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”며 “이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다.