인더뉴스 이종현 기자ㅣ과학기술정보통신부가 SK텔레콤의 사이버 침해 사고에 대해 회사에 과실에 있는 것으로 판단, 위약금 면제 규정 적용이 가능하다고 판단했습니다.
과기부는 4일 SKT 침해 사고 민관합동조사단의 조사 결과를 발표하며 SKT의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했습니다.
SKT는 지난 4월18일 23시 20분, 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고 이틀 뒤인 20일 16시 46분, 한국인터넷진흥원(KISA)에 해당 사실을 신고했습니다.
이에 대해 과기부는 SKT의 유심 정보 유출을 중대 침해 사고로 판단하고 23일 조사단을 구성해 피해현황과 사고원인을 조사하게 했습니다.
조사단은 이번 침해 사고로 공격받은 28대 서버에 대한 포렌식 분석을 진행했고 BPF도어 27종을 포함한 악성코드 33종을 확인했습니다. 공격으로 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이었습니다.
조사단은 조사를 통해 SKT의 정보보호 체계에서 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점을 지적했습니다. SKT는 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 공격으로 감염된 HSS 관리서버 계정정보를 타 서버에 평문으로 저장했으며 공격자가 동일한 계정정보를 활용해 HSS 관리서버를 감염시킨 것으로 확인됐습니다.
조사단은 "SKT는 서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화하여 저장하는 한편, 서버 접속을 위한 다중 인증 체계를 도입해야 한다"라고 재발방지 대책을 제시했습니다.
또한, SKT는 2022년 당시에도 서버가 악성코드에 감염되어 조치했으나 신고 의무를 이행하지 않았으며 이번에도 침해사고를 인지한 후 24시간 이내에 KISA에 신고하지 않은 점에 대해서 조사단은 지적하며 과태료를 부과할 예정입니다.
그 외에도 보안 관리 미흡, 공급망 보안 소홀, 정보보호 거버넌스 체계 미흡 등 문제점에 대해서도 재발방지 대책 필요성을 강조했습니다.
한편, 과기부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SKT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점을 고려해 이번 침해사고를 SKT 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단했습니다.
조사단은 조사 결과를 통해 SKT의 3가지 문제점을 확인했으며 이 과정에서 신고 지연 등 정보통신망법을 위반한 사실도 확인했다고 밝혔습니다. 따라서 과기부는 SKT가 안전한 통신서비스 제공을 위한 유심정보 보호와 관련해 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령이 정한 기준을 미준수하였으므로 이번 침해사고에서 SKT의 과실이 있는 것으로 판단했습니다.
또한, SKT가 정보 유출 당시 유심정보 보호를 위한 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나 유심보호서비스는 약 5만명만 가입한 상태였으며 FDS 1.0은 모든 유심 복제 가능성을 차단하는 데 한계가 있었던 상황이었습니다. 따라서, 과기정통부는 SKT가 유심정보를 침해사고로부터 보호해서 안전한 통신서비스를 제공(할 의무를 다하지 못한 것으로 보았습니다.
다만, 과기부는 이번 판단이 SKT 약관과 이번 침해 사고에 한정되며 모든 사이버 침해 사고가 약관상 위약금 면제에 해당한다는 일반적 해석이 아님을 강조했습니다.
유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"라면서 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것"이라고 말했습니다.
과기부는 SKT에 재발 방지 대책에 따른 이행계획을 7월까지 제출토록 하고 이행 여부를 11~12월에 점검할 계획입니다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 예정입니다.
