조사단, 감염서버 총 28대·악성코드 총 33종 확인
유심정보 25종 유출…IMSI 기준 2696만건
계정정보 관리 부실, 과거 침해사고 대응 미흡, 암호화 조치 소홀
SKT 침해 사고 과실…"약관상 위약금 면제 사유 해당"
류제명 과학기술정보통신부 2차관이 4일 정부서울청사에서SK텔레콤 해킹 사태 관련 최종 조사결과를 발표하고 있다. ⓒ데일리안 조인영 기자
SK텔레콤(SKT)의 유심정보 유출 사고와 관련해 정부가 ‘회사의 귀책 사유’로 판단, 이용자 위약금 면제가 가능하다는 해석을 내놨다. 통신사 과실로 인한 해지에 대해 정부가 약관상 면제 조항을 적용한 첫 사례다.
만일 SKT가 위약금 면제를 이행하지 않을 경우 등록 취소 등 추가 제재를 가할 수 있다는 것이 정부의 입장이다. SKT가 고객 보상과 관련해 추가 조치를 내놓을지 관심이다.
과학기술정보통신부는 4일 민관합동조사단의 조사 결과를 발표하며, SK텔레콤이 이번 침해사고에 과실이 있고, 계약상 주된 의무인 안전한 통신서비스 제공을 다하지 못했다고 판단했다.
조사단은 SK텔레콤이 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲중요 정보 암호화 조치 미흡 등 여러 문제점을 드러냈다고 판단했다.
이번 침해 사고 대응과정에서 SK텔레콤은 침해사고 신고 지연 및 미신고, 자료보전 명령 위반 등 정보통신망법 준수 의무 2가지를 위반했다고 조사단은 밝혔다.
구체적으로 SK텔레콤은 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 하나, 24시간이 지난 후 신고했다. 또한 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다.
또 과기정통부가 침해사고 원인 분석을 위해 자료 보전을 명령했으나 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다.
이에 따라 정부는 SKT에 과태료를 부과하는 한편 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰할 예정이다.
이는 SKT 이용약관상 ‘회사의 귀책 사유’에 해당하는 것으로, 피해 이용자는 약정 기간 중에도 위약금 없이 계약 해지가 가능할 전망이다.
위약금 면제와 관련해 정부는 SK텔레콤이 계정정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 등의 문제점이 있었으며, 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실을 확인함에 따라 SK텔레콤 과실이 있다고 판단했다.
정부는 조사 결과를 토대로 6월 26일부터 7월 2일까지 5개 법률 자문기관에 추가 자문을 의뢰했고, 이 중 4곳은 SK텔레콤의 과실을 인정하고 위약금 면제 규정이 적용 가능하다고 판단했다.
SKT 침해 사고 원인ⓒ과학기술정보통신부
정부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 정부는 SK텔레콤 이용약관 제43조 제1항 제4호의 '회사의 귀책 사유로 인한 해지 시 위약금 면제' 조항을 적용할 수 있다고 판단했다.
SKT가 정부의 '위약금 면제' 판단을 거부할 경우 전기통신사업법상 시정명령, 행정조치 등 다양한 조치를 하겠다고 밝혔다. 여기에는 통신사 등록취소도 해당된다.
전기통신사업법 제92조 제1항 제2호에 따르면 정부는 전기통신사업자가 이용자의 이익을 현저히 해친다고 판단될 경우 시정명령을 내릴 수 있다. 만약 사업자가 이 시정명령을 이행하지 않을 경우, 법 제65조에 따라 사업정지나 등록취소 등 추가적인 행정조치가 가능하다.
류 차관은 "시정명령 92조 제1항 제2호는 이용자가 이익을 현저히 해친다고 인정되는 경우 시정요구를 할 수 있다. (사업자가) 이행하지 않을 경우 (후속) 조치들이 이뤄진다"면서 "등록 취소 조항은 사용자가 이행하지 않으면 취할 수 있는 조치"라고 밝혔다.
위약금 면제 범주에 대해서 유출된 2696만건이 해당이 된다고 봤다. 류 차관은 "침해사고로 번호이동한 가입자에게는 위약금 환불조치가 이뤄져야 한다. 나머지는 SKT가 구체적인 범위를 결정해야 한다"고 언급했다.
다만 위약금 면제 판단은 이번 사례에 한정되며 모든 해킹사고에 동일하게 적용되지는 않는다고 선을 그었다.
이재명 대통령이 전날 위약금 면제를 것이 법률 검토 결과에 영향을 미쳤는지에 대해서는 선을 그었다. 앞서 강유정 대변인은 이 대통령이 "계약 해지 과정에서 회사 귀책 사유로 피해자들이 손해보는 일이 없어야 한다"고 말했다고 전했다.
류제명 과기정통부 2차관은 "조사는 6월 27일 완료됐으며 법률자문결과는 2일에 받았다. 타이트한 일정 속 검토 결과를 가지고 내부 입장을 지금까지 정했다"고 말했다.
SKT 위약금 면제 관련 약관ⓒ과학기술정보통신부
앞서 조사단은 이번 SK텔레콤 침해사고가 국내 1위 이동통신사의 침해사고, 유심정보 유출로 인한 휴대폰 부정 사용 등 국민 우려 증가, 악성코드의 은닉성 등을 고려해 전체 서버 4만2605대를 대상으로 BPFDoor 및 타 악성코드 감염여부에 대해 조사를 벌였다.
총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드인 CrossC2 1종, 슬리버 1종 등 총 33종을 확인했다.
유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB(기가바이트), IMSI 기준 약 2696만건이다.
추가 조사에 따른 유심 복제 피해 사례는 현재까지 발견하지 못했다고 밝혔다.
류 차관은 "유심정보보호서비스, 부정방지시스템(FDS) 고도화로 피해 우려를 차단하고 있다는 판단"이라며 "추가 조사에서도 피해를 발견하지 못했다"고 설명했다.
이어 "IMEI 숫자가 유출됐다 하더라도 단말기가 복제되는 상황은 불가하다. 사업자들이 복제폰 네트워크 접속 차단을 위한 노력을 하고 있어 국민들께서 복제폰, 복제 유심으로 인한 걱정은 하지 않아도 된다"고 말했다.
4월 28일 서울 송파동의 한 SK텔레콤 직영점에서 유심을 교체하려는 고객들이 길게 줄지어 서있다.ⓒ데일리안 이주은 기자
한편 이번 조사는 투입 인력 및 조사 대상 모두 상당한 규모로 나타났다. 최우혁 민관합동조사단장은 "조사단은 23명이며 (조사) SKT 서버 대수는 4만여대여서 점검 과정에서 KISA 인력 70여명이 투입됐다"면서 "따라서 강도 높은 조사라는 표현을 쓰고 있다"고 설명했다.
Copyright © 데일리안. 무단전재 및 재배포 금지.