정부가 SK텔레콤 서비스를 해지하는 가입자에게 위약금을 면제해야 한다고 결론지은 가장 큰 이유는 이번 유심 정보 해킹 사고가 SK텔레콤의 과실에서 비롯됐다고 봤기 때문이다. 유심 정보 유출로 인한 피해 사례가 없었음에도 SK텔레콤이 필수적인 보안 조치를 이행하지 않은 만큼 회사 측 책임이 크다고 판단했다. 정부가 “모든 사이버 침해 사고가 위약금 면제에 해당하는 것은 아니다”고 단서를 달았지만, 향후 개인정보 유출 사고에 대한 기업의 책임이 커질 것이란 전망이 나온다.
해커는 2021년 8월 6일 시스템 관리망 내 서버에 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 이 서버에는 또 다른 서버의 아이디와 패스워드 등 계정 정보가 평문으로 저장돼 있었다. 가장 중요한 정보를 암호화하지 않는 바람에 해커들은 이를 거점으로 삼아 다른 서버를 제집 드나들듯 해킹했다.
9.82기가바이트(GB)에 달하는 유심 정보를 빼낸 건 지난 4월 18일이다. 가입자 전원의 유심 정보에 해당하는 분량이다. 정부는 휴대폰 복제에 악용될 가능성이 있는 단말기식별정보(IMEI)가 유출되지 않았다고 확언할 수는 없지만, 복제폰으로 인한 2차 피해는 우려하지 않아도 된다고 강조했다.
조사단은 SK텔레콤이 2022년 2월 23일 사고를 방지할 기회가 있었음에도 이를 방치했다고 결론 냈다. 당시 특정 서버에서 비정상 재부팅이 발생했는데 SK텔레콤은 점검 과정에서 악성코드에 감염된 서버를 발견하고도 정부에 신고하지 않았다. 정보통신망법에 따른 신고 의무를 위반한 것이다. 류제명 과기정통부 2차관은 “사고의 고의성이나 SK텔레콤의 범죄적 측면이 있었는지는 경찰 수사를 통해 밝혀질 것”이라고 덧붙였다.
이번 사고는 SK텔레콤 전 가입자의 정보가 유출됐다는 점에서 국내 최대 해킹 사고로 기록될 전망이다. 과거 정보 유출 사고와 달리 이용자에게 직접적 피해가 없었지만 기업에 책임을 물었다는 점도 이례적이다. 이에 대해 과기정통부 관계자는 “안전한 통신 서비스를 제공하는 것이 통신사업자의 법적 의무”라고 강조했다. “국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약 시 중요한 요소”라는 설명이다. 조사단에 따르면 지난해 SK텔레콤 가입자 100만 명당 정보보호 인력은 15명, 투자액은 37억9000만원(SK브로드밴드 포함)으로 통신 3사 평균을 밑돌았다.
통신 및 플랫폼 업체에는 비상이 걸렸다. 단 한 번의 사고로 수천억원에 달하는 피해가 발생할 수 있어서다. 이와 관련해 과기정통부 관계자는 “위약금 면제 등 이번 판단은 SK텔레콤에만 한정된다”며 “모든 사이버 침해사고가 약관상 위약금 면제에 해당하는 것은 아니다”고 말했다.
이승우/최지희 기자 leeswoo@hankyung.com
◇ 4년 전 SKT 서버 공략한 해커
과학기술정보통신부 민관합동조사단이 4일 발표한 SK텔레콤 침해사고 최종 조사 결과에 따르면 해커는 2021년부터 4년에 걸쳐 계획적으로 해킹을 벌인 것으로 드러났다.해커는 2021년 8월 6일 시스템 관리망 내 서버에 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 이 서버에는 또 다른 서버의 아이디와 패스워드 등 계정 정보가 평문으로 저장돼 있었다. 가장 중요한 정보를 암호화하지 않는 바람에 해커들은 이를 거점으로 삼아 다른 서버를 제집 드나들듯 해킹했다.
9.82기가바이트(GB)에 달하는 유심 정보를 빼낸 건 지난 4월 18일이다. 가입자 전원의 유심 정보에 해당하는 분량이다. 정부는 휴대폰 복제에 악용될 가능성이 있는 단말기식별정보(IMEI)가 유출되지 않았다고 확언할 수는 없지만, 복제폰으로 인한 2차 피해는 우려하지 않아도 된다고 강조했다.
조사단은 SK텔레콤이 2022년 2월 23일 사고를 방지할 기회가 있었음에도 이를 방치했다고 결론 냈다. 당시 특정 서버에서 비정상 재부팅이 발생했는데 SK텔레콤은 점검 과정에서 악성코드에 감염된 서버를 발견하고도 정부에 신고하지 않았다. 정보통신망법에 따른 신고 의무를 위반한 것이다. 류제명 과기정통부 2차관은 “사고의 고의성이나 SK텔레콤의 범죄적 측면이 있었는지는 경찰 수사를 통해 밝혀질 것”이라고 덧붙였다.
◇ “통신은 국민 일상의 근간”
SK텔레콤의 이용약관 제43조는 ‘회사의 귀책 사유’로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다. 과기정통부는 조사를 바탕으로 5개 기관에 법률 자문을 구한 결과, 4개 기관이 이번 침해사고를 SK텔레콤의 과실로 판단했다고 밝혔다. 이 같은 의견에 기반해 위약금 면제 결론을 냈다. 전날 이재명 대통령이 “계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다”고 강조한 지 하루 만에 이 같은 결론이 나왔다는 지적에 대해 류 차관은 “법률 자문 결과를 지난 2일 받았다”고 답했다.이번 사고는 SK텔레콤 전 가입자의 정보가 유출됐다는 점에서 국내 최대 해킹 사고로 기록될 전망이다. 과거 정보 유출 사고와 달리 이용자에게 직접적 피해가 없었지만 기업에 책임을 물었다는 점도 이례적이다. 이에 대해 과기정통부 관계자는 “안전한 통신 서비스를 제공하는 것이 통신사업자의 법적 의무”라고 강조했다. “국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약 시 중요한 요소”라는 설명이다. 조사단에 따르면 지난해 SK텔레콤 가입자 100만 명당 정보보호 인력은 15명, 투자액은 37억9000만원(SK브로드밴드 포함)으로 통신 3사 평균을 밑돌았다.
통신 및 플랫폼 업체에는 비상이 걸렸다. 단 한 번의 사고로 수천억원에 달하는 피해가 발생할 수 있어서다. 이와 관련해 과기정통부 관계자는 “위약금 면제 등 이번 판단은 SK텔레콤에만 한정된다”며 “모든 사이버 침해사고가 약관상 위약금 면제에 해당하는 것은 아니다”고 말했다.
이승우/최지희 기자 leeswoo@hankyung.com
관련뉴스
