6 hours ago
1
유심(USIM) 해킹 사고를 일으킨 SK텔레콤이 결국 위약금 면제를 피할 수 없게 됐다. 정부 민관합동조사단이 정보보호 조치 의무 소홀 및 신고 시점 위반 등 SK텔레콤에게 이번 사고의 주된 책임이 있다고 판단하면서다.
과학기술정보통신부 민관합동조사단은 4일 SK텔레콤 침해 사고 원인분석 및 재발방지 대책을 발표했다. 조사 결과 총 28대 서버에서 33종의 악성 코드가 발견됐으며, 음성통화인증서버 3대에서 유심 정보 25종이 유출된 것으로 확인됐다. 가입자식별번호(IMSI) 기준 약 2696만 건이 유출됐다고 민관합동조사단은 밝혔다.
조사 결과 공격자는 2021년 8월 6일 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 타 서버 침투를 위한 원격 제어, 백도어 기능 등이 포함된 악성코드를 설치한 것으로 드러났다. 해당 서버에는 시스템 관리망 내 서버의 아이디, 비밀번호 등 계정 정보가 암호화되지 않은 채 평문으로 저장되어 있던 것으로 확인됐다.
공격자는 해당 서버에 있던 계정 정보를 활용해 시스템 관리망 내 타 서버에 접속한 것으로 조사됐다. 이후 상위 서버인 HSS 관리서버에 2021년 12월 24일 접속한 뒤 악성코드 설치한 것으로 드러났다.
조사단은 2022년 6월 공격자가 시스템 관리망을 통해 고객 관리망 내 고객인증 연계서버에 접속한 것으로 추정된다고 밝혔다. 해당 서버에 접속한 뒤 내부에 웹쉘과 BPF도어를 설치했다.
이후 올해 4월까지 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치한 것으로 드러났다. SK텔레콤은 관리망 내 서버 계정 비밀번호를 오랜 기간 변경하지 않은 것으로 알려졌다. 공격자는 코어망 내 HSS 3개 서버에 저장된 유심 정보를 시스템 관리망 내 인터넷 연결 접점이 있는 서버를 거쳐 4월 18일 유출한 것으로 밝혀졌다.
조사단은 정밀 분석을 통해 방화벽 로그기록이 남아있는 지난해 12월 3일부터 올해 4월 24일까지는 자료유출 정황이 없는 것을 확인했다. 악성코드 감염 시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다고 조사단은 밝혔다.
조사단은 이번 조사를 통해 SK텔레콤의 정보보호 체계에 문제점을 발견했다고 밝혔다. 서버 로그인을 위한 아이디, 비밀번호를 안전하게 관리해야 할 의무가 있음에도 타 서버에 평문으로 저장한 점, 2022년 악성코드 감염 서버를 발견하고도 신고하지 않은 점이 문제로 밝혀졌다.
부실 점검으로 쉽게 탐지 가능한 악성 코드를 발견하지 못한데다 협력업체로부터 공급받은 소프트웨어(SW) 속 악성코드 여부를 확인하지도 않는 등 총체적으로 정보보호 활동 소홀했다는 평가도 나왔다. SK텔레콤은 이달 중으로 재발방지 대책 이행계획을 제출하고 오는 8~10월 사이 이행해야 한다.
논란이 됐던 '위약금 면제'와 관련해 정부는 "5개 기관에 자문한 결과 이번 침해사고를 SK텔레콤의 전반적 과실로 판단했다"며 "유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반인만큼 SK텔레콤 이용약관 제43조상 위약금 면제 규정 적용이 가능한 것으로 결론내렸다"고 밝혔다.
과기정통부는 SK텔레콤이 유심정보를 침해사고로부터 보호해서 안전한 통신서비스를 제공한다는 주된 의무를 다하지 못한 것으로 판단했다. 정보 유출 당시 SK텔레콤은 유심정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나, 유심보호서비스에는 약 5만명만 가입한 상태였으며, FDS 1.0은 유심정보 유출로 인한 모든 유심복제 가능성을 차단하는데는 한계가 있었던 상황이라고 결론내렸다.
과기정통부는 "이러한 판단은 SK텔레콤 약관과 이번 침해사고에 한정된다"며 "모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아니다"라고 강조했다.
유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고”라며 "사이버위협이 AI와 결합하면 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편하겠다" 고 밝혔다.
최지희 기자 mymasaki@hankyung.com
![SK텔레콤 "고객들 위약금 면제…중장기적으론 주주 이익에도 부합" [종합]](https://img.hankyung.com/photo/202507/ZN.41024023.1.jpg)
![[생성 AI 길라잡이] 인공지능이 작성한 표절 논문 찾아내는 무하유 ‘GPT 킬러’](https://it.donga.com/media/__sized__/images/2025/7/4/cc4895a31fff4782-thumbnail-960x540-70.jpg)
![젠지 VS AL, T1 VS BLG…MSI 승자조 또 '한중전' [이주현의 로그인 e스포츠]](https://img.hankyung.com/photo/202507/01.41024419.1.jpg)
English (US) · 