[서울=뉴스핌] 양태훈 기자 = 과학기술정보통신부(이하 과기정통부)가 SK텔레콤의 유심 해킹 사고에 대해 사업자의 귀책사유가 명확하다고 판단, 약관에 따라 위약금을 면제해야 한다는 입장을 공식화했다. 정부는 SK텔레콤이 통신서비스 사업자로서의 계약상 의무를 다하지 않았고, 법령 위반 정황도 다수 드러났다고 밝혔다.

4일 과기정통부는 민관합동조사단의 최종 조사 결과를 바탕으로 SK텔레콤 해킹 사고에 대한 정부의 공식 입장을 발표했다.

류제명 제2차관은 브리핑에서 "SK텔레콤은 통신서비스 사업자로서 이용자 보호에 필요한 기본적인 주의의무를 다하지 않았으며, 계약상 주된 채무인 '안전한 통신서비스 제공' 의무를 위반한 것으로 판단했다"고 밝혔다.

류제명 과학기술정보통신부 제2차관이 4일 서울 종로구 정부서울청사 브리핑룸에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. [사진=뉴스핌DB]

이번 조사는 2021년 8월 최초 악성코드 침투 시점부터 올해 4월까지 공격 경로와 내부 전파 양상 등을 추적해 이루어졌다. 공격자는 원격 제어 및 백도어 기능이 포함된 악성코드(CroosC2)를 최초 설치한 뒤, 이후 계정정보를 확보해 2023년 11월부터 지속적으로 악성코드를 퍼뜨린 것으로 나타났다. 특히 지난 4월 18일에는 HSS 서버 3곳에 저장된 유심정보가 외부 접점 서버를 통해 유출된 것으로 확인됐다.

민관합동조사단은 SK텔레콤 보유 서버 4만 2,605대를 전수조사한 결과, BPFDoor 계열 27종을 포함해 총 33종의 악성코드가 탐지됐으며, 이 중 28대 서버가 실제 감염된 것으로 확인됐다. 유출된 유심 관련 정보는 IMSI, 전화번호 등을 포함한 25종으로, 총 9.82GB에 달하며 건수는 약 2,696만건으로 추산된다.

또한 이번 사고와 직접 연관되지는 않았지만, 공급망 보안 관리 취약으로 인해 또 다른 악성코드 1종이 SK텔레콤의 서버 88대에 유입된 사실도 확인됐다. 이와 별개로, SK텔레콤은 2022년 2월 악성코드 2종을 자체적으로 탐지해 조치한 전력이 있지만, 해당 정황을 정부에 신고하지는 않았다.

이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "유심 인증키 등이 평문으로 저장돼 있었고, 일부 개인정보도 외부 공격에 취약한 형태로 존재했다"며 "전반적인 보안 수준이 업계 평균에 미치지 못하는 상태였다"고 지적했다.

정부는 SK텔레콤이 침해사고 정황을 포착하고도 법령상 침해사고 신고 의무를 이행하지 않은 점, 자료보전명령을 이행하지 않고 일부 서버를 포렌식 불가 상태로 제출한 점 등을 중대하게 보고 있다. 류 차관은 "관련 법령 위반에 대해 과태료 부과와 함께 수사기관 수사의뢰도 병행할 계획"이라고 밝혔다.

사진은 유영상 SK텔레콤 대표이사가 지난 5월 2일 브리핑에서 유심 정보 해킹 사고에 사과하는 모습. [사진=뉴스핌DB]

이날 브리핑에서는 위약금 면제 가능성과 소급 적용 범위, 향후 행정조치 계획 등에 대한 질의응답도 이어졌다. 류 차관은 "SK텔레콤은 자사 이용약관 제43조에 따라 귀책사유 발생 시 이용자 위약금을 면제하도록 돼 있다"며 "4월 18일 유심정보 유출 시점을 기준으로, 해당 시점에 피해 가능성에 노출된 가입자는 위약금 면제를 적용받을 수 있다"고 설명했다.

이어 "그 이후 해지한 고객에 대해서도 소급 적용이 가능하다는 것이 정부의 법률검토 결과"라고 덧붙였다. 법률 자문은 총 6개 기관을 통해 이뤄졌으며, 이 중 4개 기관은 SK텔레콤의 과실을 명확히 인정할 수 있다고 판단했다.

과기정통부는 SK텔레콤이 이를 수용하지 않을 경우, 전기통신사업법 제92조에 따라 시정명령을 내릴 수 있고, 필요한 경우 제20조에 따라 등록 취소 등 행정조치도 검토할 방침이다.

이동근 본부장은 IMEI, CDR 등 통신부가정보 유출 가능성과 관련해 "로그가 남지 않은 기간이 있어 유출 여부를 단정하기 어렵지만, IMEI 단독으로는 복제가 어렵고, 제조사와 칩셋 인증값까지 함께 유출되지 않으면 복제가 사실상 불가능하다는 설명을 들었다"고 전했다.

사진은 서울 강서구 김포공항 국제선 SKT 로밍센터의 모습. [사진=뉴스핌DB]

류 차관도 "기술적으로 100% 안전하다고 말할 수는 없지만, 부정사용방지시스템(FDS) 2.0이 5월 18일 고도화됐고, 현재까지 복제폰 사용 등 피해 사례는 보고되지 않았다"고 설명했다.

한편, 과기정통부는 이번 사고를 계기로 정보보호 체계 강화를 위한 제도 개선에도 착수한다. CISO(최고정보보호책임자)를 CEO 직속으로 격상하고, 전사 보안 점검 주기를 분기 1회 이상으로 확대하며, 제로트러스트 보안 체계와 중앙 로그관리시스템, IT자산관리 솔루션 등을 전면 도입할 계획이다.

또한 SK텔레콤의 정보보호 인력과 예산이 타 통신사 대비 낮은 수준임을 지적하며 이에 대한 보완 필요성도 언급했다.

류 차관은 "이번 사고는 단순한 해킹 사건이 아닌 통신 인프라 전반에 대한 신뢰 문제를 환기시킨 계기"라며 "정부는 국민 통신 안전 확보를 위해 관련 제도를 재정비하고, 국회와 협력해 입법까지 추진하겠다"고 말했다.

이어 "SK텔레콤도 사회적 책임을 인식하고 이용자 보호에 적극적으로 나서야 한다"고 덧붙였다.

dconnect@newspim.com