SKT 해킹 민관조사단 “악성코드 33종 발견…회사 과실 위약금 면제 가능”

과학기술정보통신부 민관합동조사단이 SK텔레콤 유심 해킹 사태를 SKT의 과실로 판단한 검토보고서를 국회에 제출했습니다.

조사단은 오늘(4일) 국회 SK텔레콤 해킹 관련 5차 TF 회의에서 이 같은 내용이 담긴 'SKT 침해사고 원인분석 및 재발방지 대책' 자료를 보고했습니다.

조사단은 SKT가 부실한 계정관리, 과거 침해사고 대응 미흡, 암호화 조치 미흡 등 과실이 있어 위약금을 면제할 수 있다고 결론내렸습니다.

■ 중국 배후 의심 악성코드 등 33종 발견

조사단은 지난 4월부터 약 두 달간 23명의 인력을 동원해 피해현황과 사고원인을 조사했습니다.

조사결과, 전체 서버 4만여 대를 점검한 결과 총 28대 서버에서 악성코드 33종이 발견됐다고 밝혔습니다.

이번에 발견된 악성코드는 중국 국가 배후 해커그룹 Redmenshen이 만들었다고 알려져 있으며, 사고와는 관련되지 않은 악성코드도 1종이 추가 발견됐습니다.

사고로 음성통화인증서버 3대에서 약 10GB 규모의 유심정보 25종이 유출된 것으로 파악됐습니다.

■ SKT, 2022년 유사 사고 대응 미흡… 정부에 신고도 안 해

조사단은 지난 2022년 악성코드 관련 사고가 있던 것을 SKT가 적절히 조치하지 않았던 게 이번 사고의 원인이 됐다고 분석했습니다.

SKT는 지난 2022년 2월 일부 서버에 비정상 재부팅이 발생함에 따라 해당 서버와 연계된 서버들을 점검했습니다.

점검 과정에서 악성코드 감염서버를 발견해 조치했지만, 과기부에는 신고하지 않았습니다.

또 사고 당시 이번 침해사고가 발생한 서버에서 비정상 로그인 시도도 발견했으나 공격자 기록을 확인하지 못했습니다.

계정정보와 유심인증키 등에 대한 암호화 등 보호대책 적용도 미흡했습니다.

조사단은 SKT의 미신고를 정보통신망법 위반으로 보고 과태료를 부과할 예정입니다.

■ 조사단 "SKT에 과실… 위약금 면제 규정 적용 가능"

조사단은 SKT가 일반적으로 기대되는 사업자의 주의의무를 다하지 못하고 관련 법령을 미준수해 과실이 있다고 판단했습니다.

아울러 SKT가 유심정보를 보호해 안전한 통신서비스를 제공할 의무를 다하지 못한 것으로 봤습니다.

이에 따라 SKT 이용약관상 사업자 귀책 사유로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 한 규정을 적용할 수 있다고 결론 내렸습니다.

조사단은 향후 통신망 특화 보안 강화 등이 담긴 정보보호 제도 개선 방향을 발표할 예정입니다.