© 문화저널21 DB

민관합동조사단, SKT 침해사고 최종 조사결과 발표

SK텔레콤의 유심정보 유출사건과 관련해 정부가 통신사의 과실을 인정하고 위약금 면제 규정 적용이 가능하다고 밝혔다. 과학기술정보통신부는 4일 민관합동조사단의 최종 조사 결과를 발표하고 이같이 밝혔다.

이번 침해사고는 지난 4월 18일 SK텔레콤이 대용량 데이터 외부 전송 정황을 포착하면서 알려졌다. 조사 결과, SK텔레콤 서버 42,605대를 대상으로 한 정밀 점검을 통해 총 28대가 악성코드에 감염된 것이 확인됐으며, 이 중 3개 서버에서 9.82GB, 약 2,696만 건에 달하는 유심정보가 외부로 유출됐다.

조사단은 SK텔레콤이 계정정보를 평문으로 저장하고, 주요 정보 암호화 조치를 소홀히 했으며, 과거 유사 침해사고 대응조차 미흡했던 점 등을 중대한 보안상 과실로 지적했다. 특히 2021년부터 이미 악성코드가 내부에 침투했음에도, 2022년 발견된 관련 정황에 대해 적절한 조치나 정부 신고가 이루어지지 않았다는 점이 드러났다.

SK텔레콤은 유심인증키(Ki) 값을 암호화하지 않은 반면, 경쟁사인 KT와 LG유플러스는 해당 정보를 암호화해 보관 중이었던 것으로 나타났다. 과기정통부는 이에 대해 “안전한 통신서비스 제공이라는 통신사의 주요 계약상 의무를 위반한 것”이라며, SK텔레콤 약관 제43조에 따라 이용자가 약정 기간 중 해지할 경우 위약금이 면제될 수 있다고 설명했다.

조사 과정에서는 SK텔레콤이 자료보전 명령을 위반해 일부 서버를 임의로 조치한 사실도 확인돼, 과기정통부는 수사기관에 수사를 의뢰할 방침이다. 또한 침해사고 신고 지연, 보안점검 항목 누락, 정보보호 인력 및 예산 부족 등도 문제점으로 지적됐다. SK텔레콤은 타사에 비해 가입자 100만명당 정보보호 인력 및 투자 규모가 모두 낮은 것으로 확인됐다.

과기정통부는 이번 사고를 계기로 정보보호 거버넌스 체계 개편과 함께, 통신사 전반에 대한 보안 강화를 추진할 방침이다. 향후 SK텔레콤에는 재발방지 대책 이행계획을 제출토록 하고, 오는 11~12월 이행 여부를 점검할 예정이다.

유상임 과기정통부 장관은 “국내 1위 통신사의 정보유출은 전체 네트워크 인프라에 대한 경종”이라며 “AI 시대 더욱 지능화되는 사이버 위협에 대비해 국가 사이버보안 체계를 근본적으로 강화하겠다”고 밝혔다.

문화저널21 최재원 기자