과학기술정보통신부(이하 과기정통부)가 유심(USIM·가입자식별장치) 해킹사고와 관련해 SK텔레콤(이하 SKT)에 위약금 면제를 적용할 수 있다는 의견을 냈다. 조사 결과 이번 침해사고에서 SKT의 과실이 있다고 판단했으며, 통신서비스 제공과 관련한 주요 의무를 위반했다고 본 것이다.
정부 "SKT 과실 있어…회사 귀책사유 해당"
과기정통부는 SKT 침해사고 민관합동조사단의 최종 조사결과와 위약금 면제규정에 대한 검토결과를 4일 발표했다. 과기정통부가 SKT의 유심정보 유출을 중대한 침해사고로 판단하고, 민관합동조사단을 구성해 조사에 나선 지 약 72일만이다.
앞서 과기정통부가 법률자문을 받은 결과 4개 기관이 모두 SKT의 과실이 인정된다면서 이용자가 계약 해지 시 위약금 면제규정 적용이 가능하다는 의견을 제시했다. 조사결과를 바탕으로 5개 기관을 대상으로 추가적인 법률자문을 받은 결과, 1개 기관을 제외하고는 모두 위약금 면제 규정 적용이 가능하다는 의견을 냈다.
이에 따라 조사단은 이번 침해사고와 관련해 SKT의 과실이 있다고 판단했다. 조사단은 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 등 문제점이 있고, 이 과정에서 SKT가 정보통신망법을 위반한 사실을 확인했다.
과기정통부는 법률 자문기관이 제시한 법리를 토대로 종합적으로 검토한 결과, SKT가 안전한 통신서비스를 제공할 의무를 다하지 못했다고 봤다. 특히 이번 침해사고는 SKT 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고도 판단했다.
다만 과기정통부는 이러한 판단은 SKT 약관과 이번 침해사고에 한정된 것으로 모든 사이버 침해사고가 약관상 위약금 면제에 해당하는 건 아니라고 설명했다.
서버 계정정보 평문으로 저장…신고 '골든타임' 놓쳐
조사단에 따르면 공격자는 지난 2021년 8월, 시스템 관리망 내 서버에 악성코드를 심었다. 공격자는 이 서버에 평문으로 저장되어 있었던 타 서버의 계정정보를 활용해 또다른 서버에 접속했고, 평문으로 저장되어 있었던 음성통화인증(HSS)관리서버 계정정보를 활용해 악성코드를 설치했다.
HSS서버는 모든 가입자의 인증정보를 보관하는 서버다. 공격자는 초기 침투과정에서 확보한 계정정보를 활용해 시스템관리망 내 여러 서버에 추가로 악성코드를 설치하고, HSS 3개 서버에 저장된 유심정보를 지난 4월18일 유출했다. SKT는 시스템 관리망 내 서버의 계정 비밀번호를 장기간 변경하지 않은 것으로 확인됐다.
조사단은 침해사고로 공격받은 28대 서버에 대한 포렌식 분석결과 악성코드 33종을 확인했다. 유출정보는 전화번호와 가입자식별번호(IMSI)를 비롯한 유심정보 25종이며, 유출 규모는 9.82기가바이트(GB)로 IMSI 기준 약 2696만건에 달했다. SKT의 가입자 수가 약 2700만명이라는 점을 고려한다면, 사실상 대부분의 정보가 유출된 셈이다.
이밖에 단말기식별번호(IMEI)와 개인정보가 평문으로 임시저장된 서버 2대, 통신기록(CDR)이 평문으로 임시저장된 서버 1대도 감염된 것으로 알려졌다. 그러나 이 서버는 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 발견되지 않았다.
조사단은 SKT의 해킹사고 관련 문제점으로 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡을 꼽았다.
앞서 SKT는 2022년2월23일 악성코드에 감염된 서버를 발견해 조치하면서도, 사이버 침해사고 발생 시 과기정통부에 즉각 신고해야 한다는 정보통신망법상 의무를 다하지 않았다. 당시 SKT는 HSS관리서버에 비정상 로그인 시도가 있다는 걸 인지하고도 로그기록 6개 중 1개만 확인했다. 결국 이 때문에 악성코드를 제때 발견하지 못했다는 것이 정부의 설명이다.
재발방지 대책 주문…늑장신고 과태료 부과
과기정통부는 이달 중 SKT에 재발방지 대책에 따른 이행계획을 제출하고, 오는 11~12월 중 이행여부를 점검하도록 할 계획이다.
조사단은 SKT에 비밀번호 기록, 저장을 제한하고 부득이할 경우 암호화해 저장하며, 서버 접속을 위한 다중인증 체계를 도입하는 등 재발방지대책을 세울 것을 주문했다. 침해사고 발생 시 법령에 따른 신고의무를 준수하고 피해확산 방지 노력을 이행하도록 했으며, 주요정보를 암호화해 저장하도록 했다.
정부는 SKT가 해킹사고를 인지하고도 이틀 가까이 지나 늑장신고를 한 데 대해서는 과태료를 부과할 예정이다. SKT는 지난 4월18일 해킹사실을 인지한지 약 41시간이 지나서야 한국인터넷진흥원(KISA)에 신고했다. 이는 약 3000만원 이하 과태료 부과 대상에 해당된다.
SKT가 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 후 조사단에 제출한 것과 관련해서는 자료보전 명령을 위반했다고 판단, 수사기관에 수사를 의뢰할 예정이다. 자료보전 명령 위반 시 2년 이하의 징역 또는 2000만원 이하 벌금에 처해질 수 있다.
유상임 과기정통부 장관은 "SKT는 국내 1위 이동통신사업자로 국민생활에 큰 영향을 미치는 만큼 이번사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업경영의 최우선 순위로 두어야 할 것"이라고 말했다.
