3 hours ago
3
SK텔레콤이 해킹 공격을 받은 사실을 파악하고도 이틀이 지나서야 한국인터넷진흥원(KISA)에 늑장 신고한 것으로 파악됐다. 현행법상 보안 침해 사고가 발생할 경우 정보통신서비스 제공자는 즉시 과학기술정보통신부나 KISA에 알려야 하며 24시간 이내에 신고가 이뤄져야 한다.
24일 국회 과학기술정보방송통신위원회 소속 최수진 의원이 제출받은 자료에 따르면 SK텔레콤은 해킹 사실을 인지한 지 만 하루가 지나 신고한 것으로 나타났다.
SK텔레콤이 의도하지 않은 사내 시스템 데이터 움직임을 처음 포착한 때는 지난 18일 오후 6시9분. 같은 날 오후 11시20분 악성코드를 발견하면서 해킹 공격을 받았다는 사실을 확인했고 이튿날인 19일 오전 1시40분 유출된 데이터를 파악하기 위한 분석 작업을 진행했다. SK텔레콤은 같은 날 오후 11시40분 악성코드로 인해 가입자 유심(USIM) 관련 정보가 유출된 정황을 포착했다.
하지만 해킹 공격을 받은 사실을 처음 인지한 시점 기준으로 만 하루가 지나 KISA에 신고했다. 정보통신망법 등 현행법령은 침해사고 발생 사실을 인지한 시점으로부터 24시간 안에 신고하도록 규정했다. 이에 대해 SK텔레콤은 "피해 내용을 정확하게 파악하는 과정에서 신고가 늦어진 것"이라고 설명했다.
회사 측은 현재 가입자 보호 조치에 주력하고 있다. 다만 이 과정에서도 유심보호서비스 안내 메시지를 해킹 발생 5일이 지나서야 순차 발송해 대응이 늦다는 지적이 나왔다. SK텔레콤은 이날 자사 망을 기반으로 한 알뜰폰 사용자들에 대해서도 유심보호서비스를 확대 제공할 예정이라고 밝혔다.
SK텔레콤 가입회선은 지난 2월 기준 2309만9839개. 국내 최대 가입자를 보유한 이동통신사인 만큼 피해 규모도 상당할 것으로 추정된다. SK텔레콤과 관계기관은 정확한 피해 규모 등을 조사하고 있다.
개인정보보호위원회의 과징금 처분도 이뤄질 전망이다. 유심 정보 유출 자체만으로 과징금 처분 대상이 될 수 있다.
법원은 해킹 피해를 사전에 방지할 수 있었는데도 이를 막지 못할 경우 개인정보위의 과징금 처분이 적법하다는 입장이다. SK텔레콤이 해킹 피해를 분석한 지난 19일 해커 공격으로 회원 3만5076명의 개인정보 유출을 막지 못했던 인크루트에 대한 과징금 처분이 적법하다는 법원 판결이 확정되기도 했다.
법원은 지난해 4월 건강기능식품 온라인 쇼핑몰 뉴트리코어의 개인정보 유출과 관련해 악성코드 접근을 막지 못한 책임을 인정했다. 그러면서 개인정보위가 운영사인 에스엘바이오텍에 과징금 4억6457만3000원을 부과한 처분이 적법하다고 본 것. 이 사건 항소심 선고는 다음 달 말 나올 예정이다.
SK텔레콤은 유심보호서비스에 가입할 경우 추가 피해를 방지할 수 있다고 안내했다. 유심보호서비스 가입자는 이날 오전 8시 기준 약 161만명을 기록했다. SK텔레콤 관계자는 "(관계기관의) 조사가 이제 막 시작하고 있는 단계"라며 "유심보호서비스에 가입하는 사용자들이 늘고 있다"고 말했다.
김대영 한경닷컴 기자 kdy@hankyung.com
![넷마블 "단발성 매출보다는 장기서비스를 위한 지속성·완성도에 무게"[일문일답]](https://image.inews24.com/v1/44c8a6706a6dda.jpg)
![[포토] 국내 최대 ICT 행사, 월드IT쇼 막 올랐다](https://img.hankyung.com/photo/202504/AA.40268773.1.jpg)
English (US) · 