유영상 SK텔레콤 대표가 최근 발생한 가입자 유심(USIM) 정보 해킹사고를 사과하고 본격적인 수습에 나섰다. 모든 고객을 대상으로 유심을 무상으로 교체하고, 자비로 유심을 교체한 고객에게는 그 비용을 돌려주기로 했다. 해킹사고의 원인과 정확한 피해규모는 파악하지 못했으나, 민관합동조사관이 조사를 마치는대로 발표하기로 했다.
"깊은 책임 느껴"…무료로 유심 교체
유 대표는 25일 서울 중구 SKT타워에서 언론 설명회를 갖고 "고객의 소중한 정보를 보호해야 할 의무가 있는 국가기간통신사업자로서 이번 사고에 저를 비롯한 SK텔레콤 임직원 모두가 깊은 유감과 책임을 느낀다"며 고개 숙여 사과했다.
SK텔레콤은 지난 18일 오후 6시10분께 사내 시스템에서 이상징후를 발견했고 같은날 오후 11시20분에 악성코드에 의한 해킹 공격 사실을 인지했다. 실제 이용자 유심 정보가 유출됐다고 확인한 것은 다음날인 19일 오후 11시40분이다. 유출된 정보는 가입자별로 유심을 식별할 수 있는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이다. 주민등록번호, 주소, 이메일을 비롯한 개인정보는 포함되지 않은 걸로 알려졌다.
이 같은 사실이 전해지면서 유심을 복제해 가입자의 금융정보에 접근, 자산을 탈취하는 '심 스와핑'에 대한 우려가 커졌다. SK텔레콤은 가입자 전원을 대상으로 유심보호서비스를 무료로 제공하고 가입을 권유했지만, 여전히 많은 이용자들이 불안을 호소했다. 통신사의 문제로 유심을 교체하게 됐는데 비용을 지불해야 하느냐는 불만도 쏟아졌다.
이에 따라 SK텔레콤은 오는 28일부터 전 고객을 대상으로 유심 무료 교체 서비스를 진행하기로 했다. 지난 18일 밤 12시까지 가입한 이용자라면 누구나 전국T월드 매장과 공항 로밍센터에서 유심을 교체할 수 있다. 이용자가 몰려 당일 교체가 어려울 경우 방문한 매장에서 예약 신청을 하면 추후 교체가 가능하다. SK텔레콤 통신망을 사용하는 알뜰폰 고객도 무료 교체 대상에 포함된다.
지난 19일부터 오는 27일까지 자비로 유심을 교체한 고객의 경우 납부한 비용을 별도로 환급할 예정이다. 유 대표는 "아직 조사를 진행하고 있는 사안이지만, 고객의 걱정을 덜어드리기 위한 추가적인 조치"라고 말했다.
SK텔레콤은 또 비정상인증시도 차단(FDS)을 강화하고 해외 로밍중에도 유심보호서비스를 이용할 수 있도록 하겠다고 밝혔다. 유 대표는 "이중, 삼중으로 안전장치를 마련하는 데 회사의 모든 역량을 집중해나가겠다"면서 "기본에 충실하고 책임있는 기업으로 거듭날 것"이라고 강조했다.
유심보호서비스 가입에 대한 안내문자도 더 적극적으로 발송하기로 했다. 배병찬 MNO AT본부장은 "어제까지 160만명의 고객에게 고지했고, 오늘부터 일 500만명에게 문자를 보낼 계획"이라면서 "티월드 앱 푸시 등 추가적으로 고지하는 방안도 검토 중"이라고 말했다.
늑장신고 인정…"고의 아니다"
해킹원인이나 피해 규모는 아직 확인되지 않았다. 과학기술정보통신부, 한국인터넷진흥원(KISA)이 민관합동조사단을 꾸리고 조사 중이다. SK텔레콤은 조사 결과에 따라 재발방지 대책을 수립할 예정이며, 피해규모를 확인하는대로 고지하겠다고 밝혔다. 유 대표는 "추후 원인을 파악하고 추가 조치를 설명드리는 자리를 다시 한 번 갖도록 하겠다"고 말했다.
다만 SK텔레콤은 악성코드로 인해 침해당한 서버 시스템은 네트워크상 완전히 격리조치를 마쳤고, 시스템 전수조사를 통해 문제가 없다는 점을 파악했다고 설명했다. 이종훈 인프라전략본부장은 "이후 어떤 침해흔적도 없으며 실제 유출된 정보를 가지고 불법 유심을 제조해 악용하는 사례, 2차 피해도 파악되지 않았다"고 말했다.
SK텔레콤은 해킹사고를 인지하고도 이틀 가까이 지나서야 늑장신고를 했다는 의혹에 대해서도 인정했다. 정보통신망법에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 24시간 내에 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 한다. 이를 지키지 않을 경우 약 3000만원의 과태료가 부과된다. SK텔레콤이 KISA에 신고한 시기는 해킹사실을 인지(18일 오후 11시20분)하고도 약 41시간이 지난 20일 오후 4시46분이었다.
이 본부장은 "사안의 중대성을 고려해 신고에 필요한 최소한의 사항을 파악하기 위해 신고가 지연됐다"면서도 "고의적으로 늦출 생각은 없었다"고 해명했다.
