과기정통부, SKT 유심 해킹 사태 최종 조사 결과 발표
SKT, 계정관리·암호화 등 총체적 부실 드러나
귀책 사유로 판단, 위약금 면제 가능 판단

류제명 과학기술정보통신부 제2차관이 4일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서'SK텔레콤 침해사고 최종 조사결과' 관련 브리핑을 하고 있다. <출처=과기정통부>

정부가 SK텔레콤 대규모 유심(USIM) 정보 유출 사고에 대해 회사의 명백한 과실이 있다고 결론 내리고, 이에 따라 이용자가 약정을 해지할 경우 위약금을 면제해야 한다고 판단했다.

4일 과학기술정보통신부는 SKT 침해사고 민관합동조사단의 최종 조사 결과를 발표하며 이같이 밝혔다. 과기정통부는 SKT가 유심 정보 보호를 위한 사업자의 주의 의무와 관련 법령을 지키지 않았고, 이는 안전한 통신 서비스를 제공해야 할 계약상 주된 의무를 위반한 것이라고 지적했다.

◇ 정부 "SKT 귀책 사유 명백…위약금 면제 가능"

이번 결정의 핵심은 SKT 이용약관 제43조에 명시된 ‘회사의 귀책 사유로 인해 해지할 경우 위약금을 면제한다’는 조항의 적용 여부였다.

과기정통부는 조사 결과 드러난 SKT의 여러 문제점을 근거로 이번 사고가 ‘회사의 귀책 사유’에 해당한다고 판단했다. 조사단은 △계정 정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등을 SKT의 과실로 봤다. 특히 유심 복제에 악용될 수 있는 인증키 값을 다른 통신사와 달리 암호화하지 않고 저장해온 사실이 드러났다.

과기정통부는 이에 대해 “안전한 통신 서비스 제공은 통신사와 이용자 간 계약의 중요한 요소”라며 “유심 정보 유출은 이러한 주된 의무를 다하지 못한 것”이라고 지적했다. 유출된 정보는 제3자가 유심을 복제해 통신 서비스를 부정 사용하거나 전화·문자를 가로챌 수 있는 심각한 위험을 초래할 수 있다는 해석이다.

과기정통부는 위약금 면제 규정 적용 여부 판단을 위해, 최종 조사 결과를 바탕으로 총 5개 법률 자문기관에 검토를 의뢰했으며, 한 곳을 제외한 모든 자문기간이 “SKT의 과실이 인정되므로 위약금 면제가 가능하다”는 의견을 제시했다고 밝혔다.

다만, 과기정통부는 이러한 판단이 SKT 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아님을 명확히 했다.

류제명 과학기술정보통신부 제2차관이 4일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서'SK텔레콤 침해사고 최종 조사결과' 관련 브리핑을 하고 있다. <출처=과기정통부>

◇ 유심 정보 2696만건 유출…총체적 보안 부실 드러나

민관합동조사단의 조사 결과, 이번 사고로 유출된 유심 정보는 가입자 식별번호(IMSI) 기준 약 2696만건(9.82GB)에 달하는 것으로 확인됐다. 공격자는 2021년 8월부터 시스템에 침투해 활동했으며, SKT의 허술한 보안 체계를 뚫고 다수 서버를 장악한 것으로 파악됐다.

조사단에 따르면, SKT는 서버 계정 정보를 암호화 없이 평문으로 저장하고, 패스워드를 장기간 변경하지 않는 등 기본적인 보안 수칙을 지키지 않은 것으로 나타났다.

또한 2022년 2월 이미 악성코드 감염 사실을 인지하고도 과기정통부나 한국인터넷진흥원(KISA)에 신고하지 않았으며, 이번 사고 역시 인지 후 24시간을 넘겨 신고하는 등 정보통신망법을 위반했다. 과기정통부의 자료 보전 명령에도 불구하고 서버 2대를 임의 조치해 수사 의뢰 대상이 됐다.

아울러 정보보호 최고책임자(CISO)가 전체 IT 자산의 절반가량만 책임지는 등 정보보호 거버넌스가 미흡했으며, 정보보호 인력 및 투자 규모도 타 통신사에 비해 부족한 것으로 나타났다.

◇ 정부, 강력한 재발 방지 대책 요구…통신망 보안 법제화 추진

과기정통부는 SKT에 △CEO 직속 정보보호 조직 강화 △계정·비밀번호 관리 강화 및 다중 인증 도입 △주요 정보 암호화 △정보보호 인력·예산 확대 등 강력한 재발 방지 대책을 이행하라고 명령했다. 오는 11~12월 이행 여부를 점검하고 미흡할 경우 시정 조치를 내릴 계획이다.

유상임 과기정통부 장관은 “이번 사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반에 경종을 울렸다”며 “SKT는 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 강조했다.

한편, 정부는 이번 사태를 계기로 통신망 보안을 위한 별도 법제도 마련을 검토하고, 민간 분야의 정보보호 체계 전반을 개편하는 등 AI 시대에 걸맞은 국가 사이버보안 역량 강화에 나서겠다고 밝혔다.

[CEO스코어데일리 / 김동일 기자 / same91@ceoscore.co.kr]