지난 4월 18일 발생한 SK텔레콤 해킹 사고는 국내 1위 이동통신 기업의 총체적 관리 부실이 빚은 최악의 사고로 결론 났다. 과학기술정보통신부를 중심으로 한 민관합동조사단이 어제 내놓은 최종 조사 결과를 보면 해킹 공격으로 감염된 SK텔레콤의 서버는 총 28대였으며 악성코드는 33종에 이르렀다. 빠져나간 유심 정보는 휴대폰 번호, 국제 가입자 식별번호, 가입자 고유 암호화키 등 25종이었으며 규모는 9.82GB에 달했다. 300쪽짜리 책 9000권 이상에 해당하는 데이터다.
SK텔레콤은 서버 계정 정보를 암호체가 아니라 평문으로 저장해 해킹을 막지 못했고, 악성코드에 감염된 서버를 발견하고서도 정보통신망법에 의무화된 신고 의무를 이행하지 않았다. 과기정통부는 특히 이번 사고 책임이 SK텔레콤에 있기 때문에 이용자가 서비스를 해지할 경우 위약금 조항을 면제해야 한다고 밝혔다.
SK텔레콤으로선 위약금 면제 조치가 다소 과하다고 느낄 수 있다. 해킹은 사전에 방어 태세를 열심히 갖춘다고 하더라도 해커들이 몇 년간 치밀히 준비해 공격해 오면 막기가 쉽지 않은 게 현실이다. SK텔레콤은 복제폰 등을 통한 2차 피해를 막기 위해 유심칩을 무상 교체해주고 만약 피해가 발생하면 전액 보상하겠다는 약속도 내놨다. 지금까지 금융 범죄 등 2차 피해가 발생하지도 않았다. 이런 노력에도 약정 파기로 인한 위약금조차 받을 수 없어 고객 이탈 등 상당한 손실을 볼 가능성을 배제할 수 없게 됐다.
하지만 최악 해킹 사고의 파장을 고려해 무거운 책임감을 가져야 하는 것이 1위 사업자의 책무다. 그런 차원에서 SK텔레콤이 사고에 대해 재차 사과하고, 정부 조치를 수용하며, 고객 정보 보호 투자를 대폭 확대하기로 한 것은 평가받을 만하다. 다른 기업들도 보안을 소홀히 해 고객 정보 유출 사고가 발생하면 존망의 기로에 설 수 있다는 점에서 SK텔레콤 사고를 반면교사(反面敎師)로 삼아야 한다.
SK텔레콤은 서버 계정 정보를 암호체가 아니라 평문으로 저장해 해킹을 막지 못했고, 악성코드에 감염된 서버를 발견하고서도 정보통신망법에 의무화된 신고 의무를 이행하지 않았다. 과기정통부는 특히 이번 사고 책임이 SK텔레콤에 있기 때문에 이용자가 서비스를 해지할 경우 위약금 조항을 면제해야 한다고 밝혔다.
SK텔레콤으로선 위약금 면제 조치가 다소 과하다고 느낄 수 있다. 해킹은 사전에 방어 태세를 열심히 갖춘다고 하더라도 해커들이 몇 년간 치밀히 준비해 공격해 오면 막기가 쉽지 않은 게 현실이다. SK텔레콤은 복제폰 등을 통한 2차 피해를 막기 위해 유심칩을 무상 교체해주고 만약 피해가 발생하면 전액 보상하겠다는 약속도 내놨다. 지금까지 금융 범죄 등 2차 피해가 발생하지도 않았다. 이런 노력에도 약정 파기로 인한 위약금조차 받을 수 없어 고객 이탈 등 상당한 손실을 볼 가능성을 배제할 수 없게 됐다.
하지만 최악 해킹 사고의 파장을 고려해 무거운 책임감을 가져야 하는 것이 1위 사업자의 책무다. 그런 차원에서 SK텔레콤이 사고에 대해 재차 사과하고, 정부 조치를 수용하며, 고객 정보 보호 투자를 대폭 확대하기로 한 것은 평가받을 만하다. 다른 기업들도 보안을 소홀히 해 고객 정보 유출 사고가 발생하면 존망의 기로에 설 수 있다는 점에서 SK텔레콤 사고를 반면교사(反面敎師)로 삼아야 한다.
관련뉴스
