“통신서비스 제공 의무 위반” 판단

최초 공격 2021년 8월… “뒤늦은 대응”

류제명 과학기술정보통신부 제2차관이 4일 서울 중구 정부서울청사에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. /사진: 민경환 기자

[대한경제=민경환 기자] 정부가 지난 4월 발생한 SK텔레콤 해킹 사고와 관련해 위약금 면제 규정을 적용할 수 있다고 판단했다.

류제명 과학기술정보통신부 제2차관은 4일 서울 중구 정부서울청사에서 이 같은 내용의 SKT 침해사고 최종 조사결과를 발표했다.

특히 약정 기간 중 계약 해지에 대한 위약금 면제 관련 법률 자문 결과, 4개 자문기관은 “SKT가 안전한 통신서비스 제공이라는 계약 주의 의무를 위반했으므로 위약금 면제 규정을 적용할 수 있다”는 의견을 냈다.

과기정통부는 이번 침해사고에서 SKT의 과실이 발견됐고, 회사가 주된 계약 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점을 고려해 이번 침해사고는 SKT가 위약금을 면제해야 하는 회사 귀책사유에 해당한다고 최종 판단했다.

SKT 이용약관 제43조 위약금 면제 규정에는 회사의 귀책 사유로 인해 해지할 경우 제42조 제1항에 의한 위약금 납부 의무가 면제된다는 조항이 있다.

다만 이러한 판단은 SKT 약관과 이번 침해사고에 한정되며, 모든 해킹 사고가 위약금 면제에 해당한다는 일반적 해석은 아니라고 과기정통부는 설명했다. 류 차관은 “위약금을 면제할 수 있다는 판단은 가부 여부와만 관련이 있고 범위와 규모는 포함하지 않는다”고 덧붙였다.

과기정통부는 SKT 전체 서버 4만2605대를 대상으로 민관합동조사단을 구성해 피해현황과 사고원인을 조사해왔다.

조사단은 SKT가 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등 3가지 문제점이 있었다고 진단했다.

해커의 공격이 2021년 10월부터 이뤄졌으며, SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 피해를 키운 사실도 드러났다. 이는 중간 조사결과 발표 때 최초 감염 시점으로 알려진 2022년 6월보다 10개월가량 이른 시점이다.

공급망 보안 문제도 발견됐다. SKT 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 이 소프트웨어가 SKT 서버에 코드를 유입시켰다. 다만 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등 피해는 없었다.

조사단은 △통신기록(CDR)을 임시 저장 서버에 저장한 점 △정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았다.

재발 방지 대책으로 △서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지ㆍ분석하는 EDR 솔루션 및 백신 적용 △분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검 △정보보호최고책임자(CISO)를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다.

조사단은 공격받은 28대 서버에 대한 포렌식 분석 결과, BPF도어 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호와 가입자 식별번호(IMSI) 등 유심정보 25종이다.

단말기식별번호(IMEI), 이름과 전화번호 등 개인정보는 로그 기록이 남아있는 기간에는 유출 정황이 없었다. 하지만 기록이 남아있지 않은 2년 반 동안에는 유출 여부를 확인하는 것이 불가능했다.

류 차관은 “SKT에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라고 요청했다”며 “이행 여부를 올해 말 점검할 계획”이라고 밝혔다. 이어 “SKT뿐 아니라 민간 분야의 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안을 국회와 함께 마련하겠다”고 덧붙였다.

민경환 기자 erutan@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉