전체기사 최신뉴스 GAM
KYD 디데이

과기정통부 "SKT, '해킹사고' 귀책사유 존재…위약금 면제해야"

기사입력 : 2025년07월04일 14:00

최종수정 : 2025년07월04일 16:54

4일 SK텔레콤 침해사고 민관합동조사단 최종 조사 결과 발표
"계약상 안전한 통신서비스 제공 의무 위반…위약금 면제 사유"
'사고 신고 지연' 과태료 부과, '자료보전명령' 위반은 수사 의뢰
정보보호 거버넌스 강화, 인력·예산 확대 등 재발방지 대책 제시

[서울=뉴스핌] 이성화 기자 = 과학기술정보통신부(과기정통부)는 SK텔레콤에서 발생한 범용가입자식별모듈(USIM, 유심) 해킹 사고와 관련해 SK텔레콤의 귀책사유가 존재한다고 보고 이용자들의 위약금을 면제해야 한다고 결론내렸다.

과기정통부는 4일 SK텔레콤 침해 사고 민관합동조사단(조사단)의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다.

과학기술정보통신부는 4일 SK텔레콤 침해 사고 민관합동조사단의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 사진은 서울 강서구 김포공항 국제선 SKT 로밍센터의 모습. [사진=뉴스핌DB]

조사단은 이번 SK텔레콤 침해사고가 국내 1위 이동통신사의 침해 사고인 점, 유심 정보 유출로 인한 휴대전화 부정 사용 등 국민 우려가 증가한 점, 악성코드의 은닉성 등을 고려해 전체 서버 4만2605대를 대상으로 BPF도어(BPFDoor) 및 타 악성코드 감염여부에 대한 강도 높은 조사를 시행했다.

"SKT 정보보호 체계 문제점 발견"…재발방지 대책 마련

이번 사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과 BPFDoor 27종을 포함한 악성코드 33종이 확인됐다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이었다.

또한 감염서버 중 단말기식별번호(IMEI), 이름·생년월일·전화번호·이메일 등 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나 정밀 분석 결과 방화벽 로그기록이 남아있는 기간(IMEI 기준 지난해 12월 3일~올해 4월 24일, CDR 기준 지난해 12월 9일~올해 4월 20일)에는 자료유출 정황이 없는 것을 확인했다. 다만 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다.

조사단은 피해확산 방지를 위해 확인된 악성코드 정보를 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 공유하고 지난달 30일 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.

공격자는 2021년 8월 6일 원격제어, 백도어 기능 등이 포함된 악성코드(CroosC2)를 최초로 설치했고 2023년 11월 30일부터 지난 4월 21일까지 초기 침투 과정에서 확보한 계정 정보를 활용해 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치한 것으로 조사됐다.

이어 지난 4월 18일 HSS 3개 서버에 저장된 유심정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.

조사단은 이번 조사를 통해 SK텔레콤에 ▲계정정보 관리 부실 ▲과거 침해 사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점을 발견하고 재발방지 대책을 마련했다.

SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해 사고에서 감염이 확인된 HSS 관리서버 계정정보를 타 서버에 평문으로 저장한 것으로 나타났다. 조사단은 공격자가 해당 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다.

이에 과기정통부는 SK텔레콤에 "서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화해 저장하는 한편 서버 접속을 위한 다중 인증 체계를 도입해야 한다"고 요구했다.

SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생했고 서버 점검 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 정보통신망이용촉진 및 정보보호 등에 관한 법률(정보통신망법)상 신고 의무를 이행하지 않았다.

당시 점검 과정에서 이번 침해 사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견해 점검했으나 해당 서버 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다. 이에 따라 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPFDoor 악성코드를 확인하지 못했고 침해 사고를 신고하지 않아 정부 조치도 이뤄질 수 없었다.

과기정통부는 "SK텔레콤은 침해 사고 발생 시 법령에 따른 신고 의무를 준수하고 철저한 원인 분석을 통해 피해 확산 방지 노력을 이행하라"고 했다.

이 밖에도 SK텔레콤은 KT, LG유플러스(LGU+) 등 다른 이동통신사와 달리 유심 복제에 활용될 수 있는 유심 인증키(Ki) 값을 암호화하지 않고 저장한 것으로 드러났다.

이에 과기정통부는 "관계 법령 및 세계이동통신사업자협회(GSMA) 권고에 따라 주요 정보를 암호화해 저장해야 한다"고 밝혔다.

과학기술정보통신부는 4일 SK텔레콤 침해 사고 민관합동조사단의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 사진은 유영상 SK텔레콤 대표이사가 지난 5월 2일 브리핑에서 유심 정보 해킹 사고에 사과하는 모습. [사진=뉴스핌DB]

이번 조사 결과 SK텔레콤은 침해 사고 대응 과정에서 사고 신고를 지연하거나 신고하지 않고, 자료 보전 명령을 위반하는 등 정보통신망법상 준수 의무 2가지를 위반한 것으로 나타났다.

과기정통부는 "SK텔레콤은 이번 침해 사고를 인지한 후 24시간이 지나서야 사고를 신고했으며 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 신고하지 않아 정보통신망법 제48조의3이 규정한 준수 의무를 위반했다"며 "과태료를 부과할 예정"이라고 밝혔다. 정보통신방법 제76조에 따르면 신고 지연 및 미신고는 3000만원 이하 과태료 부과 대상이다.

아울러 "정보통신망법 제48조의4에 따라 침해 사고 원인 분석을 위해 자료 보전을 명령했으나 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 후 조사단에 제출했다"며 "자료 보전 명령 위반과 관련해 수사기관에 수사를 의뢰할 예정"이라고 했다. 정보통신망법 제73조는 자료 보전 명령을 위반한 자를 2년 이하의 징역 또는 2000만원 이하 벌금에 처할 수 있다고 규정한다.

조사단은 SK텔레콤의 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 부족했던 점과 SK텔레콤의 침해 사고 대응이 체계적으로 가동되지 않은 사실도 확인했다.

과기정통부는 이에 대한 재발방지 대책으로 ▲EDR, 백신 등 보안 솔루션 도입 확대 ▲제로트러스트 도입 ▲분기별 1회 이상 모든 자산에 대한 보안 취약점 정기 점검 및 제거 등 보안 관리 강화를 제시했다.

또 협력업체 공급 SW 등 외부조직 및 서비스로부터 발생하는 위험에 대한 보호대책을 마련해 이행하는 등 공급망 보안체계 구축을 주문했다. 이와 함께 정보보호 최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 CEO 직속 조직으로 강화할 것을 요구했다.

이 밖에도 방화벽 로그기록 6개월 이상 보관, 중앙로그관리시스템 구축, 전사 자산 담당 정보기술 최고책임자(CIO) 신설, IT 자산관리 솔루션 도입, 정보보호 강화에 필요한 인력·예산 규모를 타 통신사 이상 수준으로 확대 등 다양한 재발방지 대책을 내놨다.

지난해 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37.9억원으로 KT(25.1명, 90.8억원), LGU+(14.3명, 57.5억원)에 비해 규모가 작은 것으로 조사됐다.

과기정통부는 SK텔레콤이 이달 중 재발방지 대책에 따른 이행계획을 제출하고 오는 10월까지 이행하도록 한 뒤 오는 11~12월경 이행 여부를 점검할 계획이다. 점검 결과 보완이 필요한 사항이 발생하면 정보통신망법에 따라 시정조치를 명령할 수 있다.

또한 이번 침해 사고를 계기로 민간 분야 정보보호 전반의 체계를 개편할 계기가 됐다고 판단, 국회 과학기술정보방송통신위원회 내 SK텔레콤 해킹사고 관련 TF와 논의를 거쳐 법·제도 개선 방안을 마련할 예정이다.

"SKT, 계약상 안전한 통신서비스 제공할 의무 위반"

과기정통부는 사고 초기 SK텔레콤 이용약관의 위약금 면제 규정을 이번 침해 사고에 적용 가능한지에 대해 4개 기관에 법률 자문을 받았다. 당시 자문기관들은 조사 결과에서 SK텔레콤의 과실이 인정된다면 이용자가 계약 해지 시 위약금 면제 규정 적용이 가능하다는 공통된 의견을 냈다.

SK텔레콤 이용약관 제43조는 회사의 귀책사유로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.

이후 과기정통부는 조사단의 최종 조사 결과를 바탕으로 지난달 26일부터 지난 2일까지 5개 기관에 추가적인 법률 자문을 진행했다.

그 결과 4개 기관에서는 이번 침해 사고를 SK텔레콤의 과실로 판단했고 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 법률 자문기관 한 곳은 현재 자료로 판단이 어렵다며 판단을 유보했다.

과기정통부는 "SK텔레콤은 안전한 통신서비스 제공을 위한 유심정보 보호와 관련해 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령이 정한 기준을 준수하지 않았다"며 이번 침해 사고에서 SK텔레콤의 과실이 있는 것으로 판단했다.

이어 "이번 침해사고로 유출된 유심정보는 이동통신망에 접속하고, 안전하고 신뢰할 수 있는 통신서비스를 위한 필수적인 요소"라며 "유심정보의 유출은 다른 보호조치가 없다면 제3자가 유심 복제를 통해 이용자의 전화번호로 통신서비스를 이용하거나 이용자에게 걸려 온 전화·문자를 제3자가 가로챌 수 있는 위험한 상황을 초래할 수 있다"고 지적했다.

그러면서 "정보유출 당시 SK텔레콤 유심보호서비스에는 약 5만명만 가입한 상태였으며 운영 중이던 부정사용방지시스템(FDS) 1.0은 유심정보 유출로 인한 모든 유심복제 가능성을 차단하는 데 한계가 있었다"며 "SK텔레콤이 유심정보를 침해 사고로부터 보호해 안전한 통신서비스를 제공(주된 채무)할 의무를 다하지 못한 것으로 판단했다"고 설명했다.

과학기술정보통신부는 4일 SK텔레콤 침해 사고 민관합동조사단의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 사진은 유상임 과학기술정보통신부 장관의 모습. [사진=뉴스핌DB]

결론적으로 과기정통부는 이번 침해 사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점을 고려할 때 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 봤다.

다만 "이 같은 판단은 SK텔레콤 이용약관과 이번 침해 사고에 한정될 뿐, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석은 아니다"라며 선을 그었다.

유상임 과기정통부 장관은 "SK텔레콤 침해 사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"라며 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 말했다.

이어 "정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다"라고 덧붙였다. 

shl22@newspim.com

[뉴스핌 베스트 기사]

사진
돌연 취소된 '2+2 통상협상' 왜? [세종 = 뉴스핌] 김범주 기자 = 25일(현지 시각) 미국 현지에서 열릴 예정이었던 '한미 2+2 재무·통상 협의'가 돌연 취소된 배경에 관심이 모아지고 있다. 미국 측이 한국 대표단에 '양해'의 뜻을 여러 차례 표명했다는 것이 우리 정부의 설명이지만, 외교상 결례에도 불구하고 협의를 미뤄야 했던 배경에는 한국 협상단을 길들이겠다는 의도가 있는 것 아니냐는 해석이 나온다. [영종도=뉴스핌] 김학선 기자 = 미국 측 요청으로 한미 2+2 통상 협의가 연기된 24일 구윤철 부총리 겸 기획재정부장관이 출국 직전 취소 소식을 듣고 인천공항 2터미널을 나서고 있다. 2025.07.24 yooksa@newspim.com 24일 기획재정부에 따르면 구윤철 부총리 겸 기재부 장관은 이날 오전 9시경 이메일로 미국 측으로부터 협의 취소를 통보 받았다. 이날 오전 구 부총리는 협의를 위해 미국으로 출발할 예정이었다. 당시 인천공항 대기실에 있었던 것으로 파악됐다. 기재부는 이 같은 사실을 오전 9시 30분께 언론에 공개했고, 구 부총리는 정부 관계자들과 함께 오전 9시 50분께 공항을 빠져나갔다. 이날 회의가 취소가 된 배경에 대해 기재부 측은 "스콧 베선트 재무장관의 긴급한 일정 때문이었다"고 설명했다. 다만 '긴급한 일정'에 대한 설명은 없었던 것으로 파악됐다. 미국 측이 이메일을 통해 여러 차례에 걸쳐 사과 의사를 밝혔지만, 협상 관련 구체적 일정은 확정하지 않았다는 설명이다. 김정관 산업통상자원부 장관, 여한구 통상교섭본부장의 미국과의 협상은 예정대로 진행된다. 김 장관은 크리스 라이트 에너지장관 등을, 여 본부장은 제이미스 그리어 무역대표부(USTR) 대표와 각각 만난다. 하지만 양국 경제·통상 수장이 구체적 이유 없이 협의를 돌연 취소한 배경으로 한미간 협상이 난항을 겪은 것 아니니냐는 해석이 나온다. 앞서 지난 20일 미국으로 출국한 위성락 대통령실 국가안보실장은 이날 오후 귀국할 예정이지만, 고위급 협상에 진전이 없었던 것 아니냐는 관측도 나온다. 한국 정부는 1000억달러(약137조원) 규모의 미국 현지 투자 계획을 미국 정부에 제안할 예정인 것으로 전해졌다. 한국보다 먼저 관세협상을 타결한 일본 사례를 참고해 짠 전략으로 풀이된다. 일본은 5500억달러(약 757조원) 규모의 투자 펀드를 약속하고 미국과의 상호관세 15%부과에 합의했다. [영종도=뉴스핌] 김학선 기자 = 미국 측 요청으로 한미 2+2 통상 협의가 연기된 24일 구윤철 부총리 겸 기획재정부 장관이 출국 직전 취소 소식을 듣고 인천공항 2터미널을 나서고 있다. 2025.07.24 yooksa@newspim.com 다만 한국 정부가 제시할 투자 규모에 미국 정부가 만족할지 여부는 미지수다. 댄 스커비노 백악관 부비서실장이 최근 소셜미디어(SNS) 엑스(옛 트위터)에 공개한 일본 대표단과의 협상 사진을 살펴보면 트럼프 대통령이 직접 대미 투자액을 상향했을 것으로 추정되는 투자액이 나온다. 애초 일본이 제시한 투자액 4000억달러는 펜으로 그어져 있고, 그 위에 5000억달러라는 숫자가 써 있었기 때문이다. 트럼프 대통령은 전날 일본의 대미국 투자액은 5500억달러라고 공개했다. 협상액보다 500억 달러가 높아진 셈이다. 촉박한 협상 일정을 무기 삼아 미국이 비관세 영역도 손보려는 의도가 아니니냐는 해석도 나온다. 2025년 미국 무역대표부의 비관세 장벽 보고서(NTE)에서도 한국의 방산·통신·원전 분야를 지적했다. 박기훈 한국투자증권 연구원은 "방산과 통신은 미국 기업의 진입 장벽이라는 측면에서 구조 개선에 대한 압력을 가할 가능성이 크다"고 지적했다. wideopen@newspim.com 2025-07-24 18:42
사진
특검, 한덕수 자택·총리공관 압수수색" [세종=뉴스핌] 양가희 기자 = 내란특검팀이 24일 국무총리 서울공관에 대한 압수수색에 들어갔다. 국무총리실은 이날 문자 공지를 통해 특검팀의 수사에 적극 협조하고 있다며 이같이 밝혔다.   특검은 이날 한덕수 전 총리 자택 압수수색에도 나섰다. [서울=뉴스핌] 이형석 기자 = 한덕수 전 국무총리가 2일 오후 서울 서초구 서울고등검찰청에 마련된 내란 특검 사무실에서 조사를 마치고 차량으로 이동하고 있다. 2025.07.02 leehs@newspim.com 한 전 총리는 윤석열 전 대통령의 비상계엄 선포 계획을 알고도 이를 묵인 또는 방조했다는 의혹을 받고 있다. 특검은 압수물 분석을 마치는 대로 한 전 총리 등을 다시 조사한 뒤 구속영장 청구 여부 등을 검토할 전망인 것으로 알려졌다. sheep@newspim.com 2025-07-24 13:54
안다쇼핑
Top으로 이동