과기정통부 SKT 해킹 민관합동조사 결과 발표대응 미흡, 약관상 위약금 면제 귀책사유 판단재발방지·이행대책 촉구, 연내 조치 완료 예정
  • ▲ ⓒ뉴데일리 김성현 기자
    ▲ ⓒ뉴데일리 김성현 기자
    정부가 SK텔레콤 해킹 사태 조사 결과를 놓고 강경한 입장을 피력했다. 유심보호 미흡, 법령준수 위반 등을 이유로 귀책사유가 있다고 판단, 위약금 면제가 필요하다고 밝힌 것이다. SK텔레콤이 행정소송 등 이같은 조치에 불응할 경우에는 등록취소 등 더 강력하게 대응하겠다고 엄포도 놨다. 

    과기정통부는 4일 SK텔레콤 사이버 침해 사고 관련 민관합동조사단 조사 결과를 발표했다. 조사 결과 발표는 지난 4월 20일 해킹 사고피해를 인지한 이후 약 70여일 만이다.

    그동안 민간합동조사단의 결과 발표에 이목이 쏠렸던 이유는 SK텔레콤의 고객 보상안 규모와 위약금 면제 여부를 결정지을 중요한 기준이기 때문이다. 앞서 SK텔레콤을 이탈해 타사로 번호이동한 고객은 약 60만명이다. 침해사고 과정에서 SK텔레콤의 과실이 인정된다면 위약금 면제가 가능해질 것으로 내다봤다.

    이재명 대통령은 발표를 앞둔 지난 3일 안보실과 AI수석실의 SK텔레콤 해킹사고 대응 현황 보고 과정에서 위약금 면제 필요성을 언급하기도 했다. 이 대통령은 “국민 피해에 대한 보상은 감정을 충분히 반영해야 하고 피해자 쪽에 법률 해석을 적극적으로 해야 한다”며 “해킹사고 피해에 대해 특히 계약해지 위약금 부분은 국민 이익을 최대한 반영해야 한다”고 피력했다.

    과기정통부는 조사 결과 발표를 통해 약관상 위약금을 면제해야 하는 귀책사유에 해당한다고 판단했다. 침해사고와 관련해 SK텔레콤의 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요정보 암호화 조치 미흡 등 문제점과 더불어 정보통신망법 위반을 지적했다. 이용약관 상 위약금 면제 규정 적용에 대한 법률 자문 결과로 의뢰기관 5곳 중 4곳은 이번 침해사고를 SK텔레콤 과실로 판단해 위약금 면제 규정 적용이 가능하다는 내용도 공유했다.

    SK텔레콤은 위약금 면제 여부를 두고 고심이 깊어질 것으로 보인다. 앞서 유영상 SK텔레콤 대표는 번호이동 가입자에 대한 위약금 면제 시 최대 500만명 고객이 이탈해 7조원가량 손실을 볼 것으로 내다봤기 때문이다. 해당 금액은 지난해 기준 SK텔레콤 연간 영업익의 4배 수준으로 회사의 존속과도 연관되는 문제다.

    위약금 면제 여부를 두고 논란은 계속될 전망이다. 위약금 면제 규정 적용여부 검토 결과는 과기정통부의 판단으로서 법적 강제력이 있는 것은 아니다. 이미 번호이동한 가입자들에 대한 소급 적용 여부와 인터넷·TV 결합상품 가입자에 대한 조치 등 위약금 면제 범위와 형평성에 관련된 문제들이 복잡하게 얽혀 있기 때문이다.

    다만 과기정통부는 약관에 대한 해석을 수용하지 않는다면 법적 절차에 따라 사업자 등록 취소까지 할 수 있다는 강경한 입장이다. SK텔레콤이 정부 결정과 반대되는 입장을 표명할 경우 전기통신사업법상 절차대로 시정명령을 내리고 행정조치까지 법적 절차를 진행한다는 방침이다.

    류제명 과기정통부 제2차관은 “이용자의 이익을 현저히 해친다고 인정되는 경우 시정요구를 할 수 있게 돼있고 명령을 이행하지 않는 경우 조치들이 이뤄진다”며 “정부가 이용약관에 대한 해석을 했는데도 그대로 수용하지 않는다면 (등록 취소도) 취할 수 있는 조치들이라고 말씀드리는 것”이라고 설명했다.

    한편, 이번 최종 조사결과에서는 지난 2차 조사보다 악성코드 설치 시점이 앞당겨졌고 악성코드도 늘어났다. 지난 2차 조사에서 서버에 악성코드가 최초 설치된 시점은 2022년 6월 15일로 추정된 바 있다. 이번 조사결과 가장 빠른 시기에 감염된 서버는 2021년 8월 6일에 악성코드가 설치된 것으로 확인됐다.

    악성코드는 총 25종에서 33종으로 확대됐다. 추가된 것은 BPF도어 계열 3종과 타이니쉘 3종, 오픈소스 악성코드 2종이다. 다만 추가 악성코드가 유심 복제로 인한 피해로 연결될 가능성은 없는 것으로 확인됐다.

    중요 정보인 단말기식별번호(IMEI)와 개인정보에 대한 자료유출 정황은 없는 것으로 확인됐다. 이동근 KISA 본부장은 “IMEI 값이 저장된 서버 238대를 면밀히 분석한 결과 공격받은 흔적이나 유출된 흔적은 없었다”며 “다만 악성코드 감염시점부터 로그기록이 없는 기간에는 유출 여부를 확인하는 것은 불가능했다”고 덧붙였다.

    침해사고 대응 과정에서의 신고 지연과 미신고에 대해서도 지적했다. SK텔레콤이 최초 침해사고를 인지한 후 24시간 내 신고했어야 하나, 이를 어겨 3000만원 이하 과태료를 부과한다는 방침이다. 또한 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 조사단에 제출해 자료보전 명령 위반과 관련한 수사도 병행해서 진행한다는 목표다.

    과기정통부는 SK텔레콤에 재발방지 대책과 이행계획을 이달 중 제출토록 하고, 이후 11월부터 이행 여부를 점검한다는 계획이다.

    류제명 제2차관은 “정부는 침해사고가 국민께 불편과 불안을 초래한 만큼 철저한 조사와 투명한 공개를 원칙으로 조사에 임했다”며 “침해사고 직후 통신망을 안전하게 보호하기 위한 법 제도 마련과 투자 확대를 위한 제도 개선 방안을 논의해왔으며 구체적인 방안을 조속히 마련할 계획”이라고 말했다.