과기정통부, SKT 해킹사고 조사 결과 발표…“보안 허술, 과실 명백“

민·관합동조사단, 관리 부실·보안체계 미흡 지적… 위약금 면제 가능성 확인
SKT, 조사 결과 발표 후 고객 신뢰 회복 위한 ‘책임과 약속’ 프로그램 발표

과학기술정보통신부(이하 과기정통부)가 SK텔레콤(대표 유영상) 해킹 사고에 대한 민·관합동조사 결과를 4일 발표했다.

이날 과기정통부는 “SKT의 보안 관리 부실로 대량의 고객 유심정보가 유출됐으며, 고객 정보를 보호할 의무를 다하지 못한 점에서 SKT에게 명백한 과실이 있다“고 밝혔다. 또한, ”이번 사고를 치밀하게 준비된 조직적 사이버 공격으로 보고 있다”며 SKT의 계정 관리 부실, 침해사고 대응 미흡, 정보 암호화 조치 부족 등을 주요 원인으로 지목했다.

SKT 침해사고 민·관합동조사단(이하 조사단)은 지난 4월 23일부터 약 두 달간 SKT 전체 서버 4만2605대를 대상으로 악성코드 감염 여부를 점검했다. 분석 결과, 총 28대의 서버가 감염됐으며 33종의 악성코드가 확인됐다. 또한, 9.82기가바이트(GB) 분량의 유심정보 25종, 약 2696만건의 가입자 식별번호(IMSI)가 유출된 것으로 확인됐다.

조사단에 따르면, 공격자는 2021년 8월 외부 인터넷 접점이 있는 서버를 통해 침투해 평문으로 된 계정 정보를 확인한 후, 내부 서버 및 코어망(핵심망) 시스템에 악성코드를 설치하고 통신망을 장악했다. 이후 고객관리망까지 추가로 감염시켰고, 2025년 4월에 유심정보를 외부로 유출했다.

조사 결과에 대해 과기정통부는 “SKT에서 ▲계정정보 평문 저장 ▲중요 정보 미암호화 ▲침해사고 신고 지연 및 누락 ▲디지털 포렌식 방해 ▲거버넌스 체계 미흡 ▲보안투자·인력 부족 등 다수의 관리 문제가 드러났다“고 지적했다. 특히, 악성코드에 감염된 서버들 중 일부는 이미 2022년 침해 사실이 있었음에도 정부에 신고하지 않았고, 핵심 정보가 평문으로 저장된 서버가 존재했으나 제대로 대응하지 못했다고도 꼬집었다.

이에, 과기정통부는 SKT가 정보통신망법을 위반한 것으로 판단, 과태료를 부과하고 수사기관에 수사를 의뢰할 계획이다.

또한, 과기정통부는 이번 사고가 SKT의 명백한 과실 때문이라는 조사 결과에 따라, 약관에 따른 ‘위약금 면제’ 적용이 가능하다는 법률 자문 결과도 공개했다.

과기정통부는 “유심정보 유출은 고객의 정보 보호에 중대한 영향을 주는 사안으로, SKT가 계약상 의무를 다하지 못한 것”이라며 ”위약금 면제 요건에 해당될 수 있다”고 설명했다.

추가로, 과기정통부는 같은 사고 발생을 막기 위한 재발방지 대책을 SKT에 권고했다. 대책에는 정보보호최고책임자(CISO) 권한 강화, 보안 인력·예산 확대, 자산 식별 체계 개선, 로그 보존 연장, 협력사 공급망 보안 강화 등이 포함됐다.

향후 과기정통부는 통신사 보안 투자 확대, 민간 정보보호 법제 정비 등 제도 개선 방안을 국회에 있는 SKT 침해사고 관련 전담조직과 협의해 마련할 계획이다.

SKT, “고객 신뢰 회복 위한 ‘책임과 약속’ 보상 프로그램 시행”

한편, SKT는 4일 과기정통부의 사고 조사결과 발표 직후 고객 신뢰 회복을 위한 ‘책임과 약속’ 프로그램을 시행하겠다는 입장을 내놓았다.

SKT가 발표한 ‘책임과 약속‘ 프로그램에는 ▲유심보호서비스와 보상제도를 포함한 ‘고객 안심 패키지’ ▲향후 5년간 7000억원 보안 투자 계획을 담은 ‘정보보호 혁신안’ ▲8월 요금 50% 할인과 데이터 제공 등 5000억원 규모의 ‘고객 감사 패키지’ ▲4월 18일 이후 해지한 약정 고객의 위약금 면제 등 대책이 포함됐다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network