SKT, 해킹 덮고 방치…4년전 막을기회 놓친게 '최대 과실'

정부가 77일 만에 SK텔레콤 유심 유출 사고를 ‘보안 사고’로 결론 냈다. 약 4년 전 침투한 해커의 흔적을 2021년께 발견할 기회가 있었는데도 관리 부실로 사태를 키운 것으로 드러났다. 이에 근거해 과학기술정보통신부 민관합동조사단은 4일 “통신서비스 제공이라는 계약의 주요 의무 위반인 만큼 위약금 면제 규정 적용이 가능하다”고 발표했다.

과기정통부에 따르면 이번 조사에는 약 2개월에 걸쳐 총 23명의 전문가가 투입됐다. SK텔레콤 서버 총 4만2605대의 전수·정밀 조사가 이뤄졌다. 조사단은 총 33종의 악성코드를 발견했으며, 유출된 정보는 전화번호와 가입자 식별번호(IMSI) 등 유심 정보 25종으로 확정했다. 식별번호 기준 총 2696만 건이 유출됐다. SK텔레콤 가입자 전원의 유심 정보가 밖으로 새나갔다는 얘기다. 다만 조사단은 “피해 사례는 현재까지 확인되지 않았다”며 “유출된 정보를 조합해 금융정보 등을 탈취할 가능성도 없다”고 말했다.

1997년 이후 부동의 1위를 지켜 온 SK텔레콤은 창사 이후 최대 위기를 맞았다. 유심 유출로 이미 60여만 명이 빠져나간 데다 오는 14일까지 계약 해지 시 위약금을 면제하기로 해 추가 이탈이 불가피해서다.

SK텔레콤은 이날 오후 공정공시를 통해 올해 연결매출 전망치를 17조8000억원에서 17조원으로 낮춰 잡았다. 약 8000억원의 매출 감소를 전망한 것이다.

통신업계에서는 5~14일 열흘 동안 통신 3사의 치열한 마케팅 전쟁이 펼쳐질 것이라는 전망이 나온다. 이와 관련해 SK텔레콤은 이날 통신요금 할인, 데이터 추가 제공 등 5000억원 규모의 고객 보상책을 내놨다. 재발 방지를 위해 앞으로 5년간 보안 강화에 7000억원을 투자한다. 정경두 사이버안보연구소 대표는 “인공지능(AI)을 활용한 무차별 사이버 공격이 더 이어질 것”이라며 “이번 일을 계기로 기업과 정부 모두 사이버 안보에 경각심을 높여야 한다”고 말했다.

과기부 "SKT, 고객 해지 위약금 면제해야"
2021년 첫 감염…그후 수차례, 유심 해킹, 고객피해 없었지만…

정부가 SK텔레콤 서비스를 해지하는 가입자에게 위약금을 면제해야 한다고 결론지은 가장 큰 이유는 이번 유심 정보 해킹 사고가 SK텔레콤의 과실에서 비롯됐다고 봤기 때문이다. 유심 정보 유출로 인한 피해 사례가 없었음에도 SK텔레콤이 필수적인 보안 조치를 이행하지 않은 만큼 회사 측 책임이 크다고 판단했다. 정부가 “모든 사이버 침해 사고가 위약금 면제에 해당하는 것은 아니다”고 단서를 달았지만, 향후 개인정보 유출 사고에 대한 기업의 책임이 커질 것이란 전망이 나온다.

◇ 4년 전 SKT 서버 공략한 해커

과학기술정보통신부 민관합동조사단이 4일 발표한 SK텔레콤 침해사고 최종 조사 결과에 따르면 해커는 2021년부터 4년에 걸쳐 계획적으로 해킹을 벌인 것으로 드러났다.

해커는 2021년 8월 6일 시스템 관리망 내 서버에 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 이 서버에는 또 다른 서버의 아이디와 패스워드 등 계정 정보가 평문으로 저장돼 있었다. 가장 중요한 정보를 암호화하지 않는 바람에 해커들은 이를 거점으로 삼아 다른 서버를 제집 드나들듯 해킹했다.

9.82기가바이트(GB)에 달하는 유심 정보를 빼낸 건 지난 4월 18일이다. 가입자 전원의 유심 정보에 해당하는 분량이다. 정부는 휴대폰 복제에 악용될 가능성이 있는 단말기식별정보(IMEI)가 유출되지 않았다고 확언할 수는 없지만, 복제폰으로 인한 2차 피해는 우려하지 않아도 된다고 강조했다.

조사단은 SK텔레콤이 2022년 2월 23일 사고를 방지할 기회가 있었음에도 이를 방치했다고 결론 냈다. 당시 특정 서버에서 비정상 재부팅이 발생했는데 SK텔레콤은 점검 과정에서 악성코드에 감염된 서버를 발견하고도 정부에 신고하지 않았다. 정보통신망법에 따른 신고 의무를 위반한 것이다. 류제명 과기정통부 2차관은 “사고의 고의성이나 SK텔레콤의 범죄적 측면이 있었는지는 경찰 수사를 통해서 밝혀질 것”이라고 덧붙였다.

◇ “통신은 국민 일상의 근간”

SK텔레콤의 이용약관 제43조는 ‘회사의 귀책 사유’로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다. 과기정통부는 조사를 바탕으로 5개 기관에 법률 자문을 구한 결과, 4개 기관이 이번 침해사고를 SK텔레콤의 과실로 판단했다고 밝혔다. 이 같은 의견에 기반해 위약금 면제 결론을 냈다. 전날 이재명 대통령이 “계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다”고 강조한 지 하루 만에 이 같은 결론이 나왔다는 지적에 대해 류 차관은 “법률 자문 결과를 지난 2일 받았다”고 답했다.

이번 사고는 SK텔레콤 전 가입자의 정보가 유출됐다는 점에서 국내 최대 해킹 사고로 기록될 전망이다. 과거 정보 유출 사고와 달리 이용자에게 직접적 피해가 없었지만 기업에 책임을 물었다는 점도 이례적이다. 이에 대해 과기정통부 관계자는 “안전한 통신 서비스를 제공하는 것이 통신사업자의 법적 의무”라고 강조했다. “국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약 시 중요한 요소”라는 설명이다. 조사단에 따르면 지난해 SK텔레콤 가입자 100만 명당 정보보호 인력은 15명, 투자액은 37억9000만원(SK브로드밴드 포함)으로 통신 3사 평균을 밑돌았다.

대량의 개인 정보를 보관하고 있는 통신 및 플랫폼 업체에는 비상이 걸렸다. 단 한 번의 사고로 수천억원에 달하는 피해가 발생할 수 있어서다. 이와 관련해 과기정통부 관계자는 “위약금 면제 등 이번 판단은 SK텔레콤에만 한정된다”며 “모든 사이버 침해사고가 약관상 위약금 면제에 해당하는 것은 아니다”고 말했다.

이승우/최지희 기자 leeswoo@hankyung.com