과기정통부 “SKT 해킹, 사업자 과실 명백… 위약금 면제 해당”

[마이데일리 = 박성규 기자] SK텔레콤의 유심정보 침해사고에 대해 정부가 “통신사업자의 핵심 의무를 위반한 사고”로 규정하고, 피해 이용자의 위약금 면제 가능성을 공식 인정했다.

과학기술정보통신부는 4일 민관합동조사단의 최종 조사결과를 바탕으로 사고 원인과 재발방지 대책을 발표하며, SK텔레콤이 자사 약관에 따라 계약 해지 시 위약금을 면제해야 할 사유에 해당한다고 밝혔다.

조사에 따르면, 해킹은 2021년 8월 시스템관리망 침투로 시작돼 2025년 4월 유심정보 9.82GB(약 25종)가 외부로 유출되기까지 약 3년간 이어졌다. 공격자는 내부 서버에 평문으로 저장된 계정정보를 이용해 차례로 코어망, 고객관리망, HSS 관리서버를 장악했고, 이 과정에서 악성코드 33종이 확인됐다.

조사단은 이번 사고의 근본 원인으로 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요정보 암호화 미흡 등을 지적했다. 특히 유심 인증키(Ki)는 국제기구(GSMA)와 타 통신사가 암호화 저장하고 있었으나 SK텔레콤은 이를 평문으로 저장한 것으로 드러났다.

과기정통부는 “SK텔레콤이 정보통신망법상 침해사고 즉시신고 의무를 위반했고, 정부의 자료보전 명령에도 불응한 정황이 있다”며 “위약금 면제 조항이 적용될 수 있다”고 판단했다. 실제 법률 자문기관 5곳 중 4곳도 동일한 해석을 내놨다.

유상임 과기정통부 장관은 “이번 사고는 통신망 기반 산업 전체에 경종을 울리는 사건”이라며 “정부는 AI 시대에 대응한 보안체계 전반의 개편에 나설 것”이라고 말했다.

과기정통부는 오는 10월까지 SK텔레콤의 개선 이행 여부를 점검하고, 결과에 따라 시정조치에 나설 계획이다.