계정정보 관리 부실 등 SKT 과실로 판단
과기부 "SKT, 계약상 주된 의무 다 못해"
|
과학기술정보통신부는 SKT 침해사고 민관합동조사단 조사 결과 및 SKT 이용약관 상 위약금 면제 규정에 대한 검토결과를 4일 발표했다.
◇과기부 "SKT, 관리 부실 등 문제점 있어…귀책사유로 판단"
조사결과에 따르면 이번 침해사고와 관련해 SKT에 △계정정보 관리 부실 △과거 2022년 침해사고 당시 대응 미흡 △중요 정보 암호화 조치 미흡 등의 문제점이 있었으며, 이 과정에서 SKT가 정보통신망법을 위반한 사실도 확인됐다.
발표에 앞서 과기부는 조사결과를 바탕으로 5개 기관에 법률 자문을 진행했다. 그중 4개 기관은 이번 침해사고를 SKT의 과실로 판단, 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 이후 법률 자문기관이 제시한 법리를 토대로 SKT의 입장, 침해사고로 인한 결과의 중대성 등을 종합적으로 검토했다고 전했다.
과기부는 정보통신망법상 통신 사업자에게는 안전한 통신서비스를 제공할 의무가 있다는 점을 들어 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소라고 판단했다. 특히 침해사고로 유출된 유심정보는 이동통신망에 접속하고, 안전하고 신뢰할 수 있는 통신서비스를 위한 필수적인 요소이기에 각별한 주의가 필요했다고 지적했다.
실제 정보유출 당시 SKT는 유심정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나, 유심보호서비스에는 약 5만명만 가입한 상태였다. 또 FDS 1.0은 유심정보 유출로 인한 모든 유심복제 가능성을 차단하는 데는 한계가 있었던 상황이었다.
과기부는 △침해사고에서 SKT의 과실이 발견된 점 △SKT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.
◇공격 서버 총 28대…"지난해 12월 前 유출 여부 확인 불가"
조사단은 SKT 전체 서버 4만2605대 조사 이후 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석을 진행, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 유출 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이었다.
조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다. 정밀 분석 결과, 방화벽 로그기록이 남아있는 기간(IMEI: 2024.12.3~2025.4.24, CDR: 2024.12.9~ 2025.4.20)에는 자료유출 정황이 없는 것을 확인했다. 다만 악성코드 감염시점부터 로그기록이 없는 기간(IMEI: 2022.6.15~2024.12.2, CDR: 2023.1.31.~ 2024.12.8.)에는 유출여부를 확인하는 것이 불가능했다고 설명했다.
과기부는 SKT에 재발방지 대책에 따른 이행계획을 이달 중 제출토록 하고 이행(8~10월) 여부를 점검(11~12월)할 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
또 통신망 안전 보호를 위한 별도의 법제도 방안, 민간 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안 등을 국회 과학기술정보방송통신위원회 내 해킹사고 관련 태스크포스(TF)와 논의를 거쳐 마련할 예정이다.
유상임 과기부 장관은 "이번 SKT 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"며 "SKT는 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야할 것"이라고 말했다.
이어 "다가올 인공지능(AI) 시대에는 사이버위협이 AI와 결합해 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다"고 덧붙였다.