해킹사태 SKT, 위약금 면제 결정에 통신업 타격

시사위크=조윤찬 기자  정부가 유심 정보가 유출된 SKT에 귀책사유가 있다고 봐 위약금 면제를 판단했다. 유심정보 유출 자체가 안전한 통신서비스 제공이라는 계약 주요 사항 위반이라는 설명이다. 정부는 재발방지를 위해 SKT에 정보보호 강화 조치를 부과했다.

◇ 정부 “안전한 통신서비스 제공 계약 위반”

4일 과학기술정보통신부(이하 과기정통부)가 법률자문을 한 4개 기관 모두 해킹 사태에 SKT의 귀책사유가 있다고 결론내 위약금 면제 판단을 했다고 밝혔다. 대통령실이 3일 브리핑에서 이재명 대통령이 “SKT 위약금으로 소비자가 피해 보는 일이 없어야 한다”고 말한 것을 전하며 위약금 면제 결정이 더욱 주목됐다.

민관합동조사결과에 따르면 SKT 유심 정보 유출 규모는 9.82GB로, 가입자식별헌호(IMSI) 기준 2,696만건이다. 가입자들은 전화번호, IMSI 등 유심정보 25종이 유출됐다.

조사에 따르면 초기 침투는 2021년 8월 6일로, 시스템 관리망 A서버에 접속 후 악성코드를 설치했다. A서버에는 다른 시스템 관리망 서버 계정 정보(ID, 비밀번호)가 평문으로 저장됐다. 시스템 관리망을 거쳐 고객 관리망 서버에는 2022년 6월 15일과 22일에 악성코드가 설치됐다. 정보유출은 올해 4월 18일에 벌어졌지만 SKT는 장기간 시스템 관리망 내 서버의 계정 패스워드를 변경하지 않았다.

4개 법률 자문기관은 “유심 정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 (SKT 이용약관) 위약금 면제 규정 적용이 가능하다”고 의견을 제시했다.

SKT는 4월 22일 해킹공지 이후 유심보호서비스 가입을 늘려갔다. 현재는 모든 가입자가 유심보호서비스에 가입된 상태이지만 정보유출 당시에는 5만명이 가입했다. 이에 과기정통부는 “SKT는 정보유출 당시 유심정보를 침해사고로부터 보호해서 안전한 통신서비스를 제공할 의무를 다하지 못했다”고 지적했다.

과기정통부는 “SKT 이용약관 43조에 따른 위약금을 면제해야 하는 회사의 귀책사유에 해당한다”고 밝혔다. 해당 판단은 이번 사고에만 적용되며 모든 사이버 침해사고에 대한 일반적인 해석은 아니다.

◇ SKT, 2022년 악성코드 미신고도 드러나… 재발방지책 미이행 시 사업자 취소도 고려

위약금 면제에는 ‘정보통신망법’ 위반도 판단에 영향을 미쳤다. 앞서 알려진 ‘정보통신망법’ 위반 사실은 24시간 내 침해사고를 신고하지 않은 것이었다. SKT는 지난 4월 18일 오후 11시 20분 해킹 공격을 내부에서 인지하고도 40시간이 넘은 4월 20일 오후 4시 46분 한국인터넷진흥원(KISA)에 신고했다. 이에 대해 과태료가 부과될 예정이다.

이번 민관합동조사로 SKT는 2022년 2월 23일 악성코드에 감염된 서버를 발견했지만 KISA에 신고하지 않은 것으로 드러났다. 이에 정부는 2022년 조사해 조치할 수 없었다.

SKT는 자료보전 명령도 위반했다. 정부는 이번 침해사고 원인 분석을 위해 지난 4월 21일 자료보전을 명령한 바 있다. 그러나 SKT는 서버 2대를 포렌식이 불가능한 상태로 임의조치 후 조사단에 제출했다. 이에 대해 정부는 수사기관에 수사를 의뢰할 예정이다.

과기정통부는 △분기별 1회 이상 모든 자산에 대한 보안 취약점 점검 △정보보호 최고책임자(CISO)를 CEO 직속 조직으로 강화 △전사 자산을 담당하는 정보기술 최고책임자(CIO) 신설 △정보보호 투자 규모 확대 등의 재발방지 대책을 SKT에 요구했다.

SKT는 이달 중으로 재발방지 이행계획을 제출하고, 8~10월 이행해야 한다. 정부는 오는 11~12월 이행 여부를 점검할 계획이다. 류제명 과기정통부 2차관은 4일 브리핑에서 “SKT가 정부 방침에 반대하면 시정명령 조치하고, 이행하지 않으면 사업자 지위 해제 등을 취할 수 있다”고 말했다.

위약금이 면제되면 가입자 이탈이 증가할 수 있다. 유영상 SKT 대표는 5월 국회 청문회에서 “위약금이 면제되면 최대 450만명까지 이탈할 가능성이 있다”며 “3년치 매출을 고려하면 7조원 이상 손실이 예상된다”고 밝혔다.