SK텔레콤(SKT)의 '유심(USIM·가입자식별모듈) 정보' 유출사고에 대해, 정부가 계약을 해지하는 이용자들에게 위약금을 면제해야 한다고 밝혔다.
또 이번 사고는 4년 전인 2021년부터 외부 해커의 공격으로 이뤄졌으며, SK텔레콤이 지난 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않았던 것으로 밝혀졌다. 결국 회사의 안일한 조치로 이번 정보 유출 사태를 키운 것으로 정부 조사 결과 드러났다.
과학기술정보통신부(장관 유상임, 아래 과기정통부)는 4일 오후 2시 서울시 종로구 정부서울청사에서 'SK텔레콤 침해사고 민관합동조사단 최종 조사결과 및 SK텔레콤의 이용약관상 위약금 규정에 대한 검토결과'를 발표했다.
이날 발표를 맡은 류제명 과기정통부 2차관은 "과기정통부는 이번 침해사고에서 (첫째) SK텔레콤의 과실이 발견된 점, 둘째 SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 SK텔레콤 이용약관 (제43조)상 (위약금을 면제해야 하는) 회사의 귀책사유에 해당한다고 판단했다"고 말했다.
SK텔레콤 이용약관 제43조는 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제 하도록 돼 있다. 이어 류 차관은 "다만, 과기정통부의 판단은 SK텔레콤의 유심 정보가 유출된 금번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당 한다는 일반적인 해석이 아님을 명확히 말씀드린다"고 강조했다.
SKT 사고 인지 시점 24시간 이내 미신고... 정보통신망법 위반 3천만원 이하 과태료
이에 앞서 류 차관은 이번 SKT 침해사고 원인 분석한 결과를 설명했다. 우선 SKT는 지난 4월 18일 오후 11시 20분 침해사고를 인지하고도, 한국인터넷진흥원(KISA)에 4월 20일 오후 4시 46분 침해사고를 신고했다. 이는 사고인지 시점부터 '24시간 이내'에 신고를 해야 하는 정보통신망법을 위반한 것으로 3천만 원 이하 과태료 부과 대상인 점을 지적헀다.
곧바로 과기정통부는 SKT의 유심정보 유출을 중대한 사이버 침해사고로 판단하고, 사흘 뒤인 23일 민관합동조사단을 구성해 피해현황, 사고원인 등을 지난 6월 27일까지 조사했다. SKT 전체 서버 4만2605대를 대상으로, 총 6차례에 걸쳐 BPFDoor 및 타 악성코드 감염 여부에 대해 강도 높은 조사를 진행했다는 설명이다.
조사단은 해커로부터 공격을 받은 총 28대의 서버에 대한 포렌식 분석 결과, BPFDoor 27종과 타이니쉘 3종, 웹쉘 1종, CrossC2 1종, 슬리버 1종 등 악성코드 33종을 확인했다. 확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간 및 공공기관에 공유했으며, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.
유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며, 확인된 유출 규모는 9.82GB, IMSI 기준 약 2696만 건으로 최종 발표했다. 규모로만 따지면 사실상 국민의 절반이 피해를 입은 셈이다.
류 차관은 "조사단은 감염서버 중 단말기식별번호(IMEI), 이름, 전화번호 등 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다"면서 "그러나 정밀 분석 결과 방화벽 로그 기록이 남아 있는 기간에는 자료 유출 정황이 없는 것을 확인했다"고 말했다.
하지만 그는 "다만, 악성코드가 감염된 시점부터 방화벽 기록이 남아있지 않은 기간에는 정보유출 여부를 확인할 수 없었다"고 덧붙였다.
