정부 "SKT, 유심유출 사고 과실 있어…위약금 면제해야"(상보)

"SKT, 주의 의무 다하지 못해"
"관련 법령도 미준수"

SK텔레콤 의 유심(USIM) 정보 유출 사고 관련, SKT가 위약금을 면제해야 한다는 정부의 판단이 나왔다.

과학기술정보통신부를 주축으로 하는 민관합동조사단은 4일 오후 정부서울청사에서 SKT 침해사고 최종 조사결과를 발표하면서 "이번 유출 사고에서 SKT의 과실이 발견된 점과 계약상 주된 의무를 다하지 못한 점 등을 고려하면 위약금 면제 규정이 적용 가능하다고 판단한다"며 이같이 밝혔다.

조사단은 SKT가 유심정보 유출 사고에서 과실이 있다고 판단했다. SKT가 유심정보 보호를 위한 주의 의무를 다하지 않았고, 관련 법령을 준수하지 않았다는 이유에서다. 구체적으로 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요 정보 암호화 조치 미흡 등의 문제점이 발견됐다는 게 과기정통부의 설명이다. 이 과정에서 SKT의 정보 유출 사실 신고가 늦어져 정보통신망법을 위반한 사실도 확인됐다.

SKT가 유심 정보를 보호해 안전한 통신서비스를 제공해 할 사업자의 의무를 다하지 못했다고도 판단했다. 정보통신망법상 통신사업자에는 안전한 통신서비스를 제공할 의무가 있고, 이용자 간 계약에서 주요 요소라는 게 조사단의 설명이다. 이번 사태 초기 유심보호서비스 가입자는 5만명에 불과했고, 부정사용방지시스템(FDS) 1.0도 모든 유심 복제 가능성을 차단하는 데는 한계가 있었다는 설명이다.

과기정통부는 조사단의 조사가 마무리되는 시점에 5곳의 자문기관을 통해 추가적인 법률 자문을 진행했다. 이 가운데 4곳의 자문기관은 이번 침해사고를 SKT의 과실로 판단했다.

다만 과기정통부는 이번 판단은 SKT 침해사고에 한정된다고 못 박았다. 모든 사이버 침해사고가 약관상 위약금 면제에 해당하지는 않는다는 취지다.

해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월6일로 파악됐다. 중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 10개월가량 이른 시점이다.

해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 이 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호화되지 않은 평문으로 저장되면서 이번 사태가 벌어졌다.

핵심 서버들에 접근할 수 있는 정보를 쉽게 얻은 해커는 통신사의 핵심 망인 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 악성코드를 심어 서버를 제어하기 시작했다.

해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니셸 3종, 웹셸, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다. 해커는 지난 4월18일 HSS 3개 서버에 저장된 유심정보 9.82GB를 외부로 빼돌렸다. 조사단은 가입자 전원의 유심 정보에 해당하는 분량이라고 밝혔다.

조사단은 SKT에 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 솔루션과 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다.

유상임 과기정통부 장관은 "이번 SKT 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"면서 "SKT는 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 말했다.

이명환 기자 lifehwan@asiae.co.kr