4년 전부터 보안 뚫린 SKT…정부 “SKT 귀책, 위약금 면제해야”

작성일 07-04

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="YkIdIOdz5w">
          <figure class="figure_frm origin_fig" contents-hash="78307093a7fdc73ebe3f25316512b5a8978ef43bf72c464bfb2e6efd759fcba1" dmcf-pid="GECJCIJqYD" dmcf-ptype="figure">
           <p class="link_figure"><img alt="류제명 과기정통부 제2차관이 4일 정부서울청사에서 SKT 해킹 사고 최종 조사 결과를 발표하고 있다. 과기정통부 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/dt/20250704161127047ugzg.jpg" data-org-width="640" dmcf-mid="yh9Y9KYcXm" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/dt/20250704161127047ugzg.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            류제명 과기정통부 제2차관이 4일 정부서울청사에서 SKT 해킹 사고 최종 조사 결과를 발표하고 있다. 과기정통부 제공
           </figcaption>
          </figure>
          <div contents-hash="8a584fe29f5454d03d92231566f0944d606e9f5632643b254cf7c2c64b04d7ef" dmcf-pid="HDhihCiBZE" dmcf-ptype="general">
           <br> 과학기술정보통신부는 지난 4월 발생한 SK텔레콤 유심정보 해킹 사고와 관련해 “이번 사고는 SK텔레콤의 명백한 과실로 이용자가 서비스 해지 시 위약금 면제가 정당하다”고 밝혔다.
           <br>
           <br> 류제명 과기정통부 제2차관은 4일 정부서울청사에서 민관합동조사단의 조사 결과 및 SKT의 이용약관상 위약금 면제 규정에 대한 검토결과를 발표하며 이같이 밝혔다.
           <br>
           <br> SKT 해킹 사고는 SKT 시스템 관리망을 시작으로 2021년부터 장기간 잠복해온 악성코드에 의해 지난 4월 18일 유심정보 약 2696만건(9.82GB)이 유출되며 드러났다. 공격자가 2021년 8월 6일 원격제어·백도어(뒷문) 기능이 포함된 악성코드인 ‘CrossC2’가 설치하며 시작된 것으로 파악됐다.
           <br>
           <br> 유출 정보는 전화번호, 가입자식별번호(IMSI) 등 25종에 달해 SKT 가입자의 대규모 피해 우려를 불러일으켰다. 민관합동조사단은 이번 사고의 심각성을 고려해 SKT 전체 서버 4만2605대를 대상으로 강도 높은 정밀 조사를 실시했다. 조사 결과 28대의 서버에서 총 33종의 악성코드가 확인됐다.
           <br>
           <br> 특히 감염서버 중 IMEI, 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했지만 분석 결과 방화벽 로그 기록이 남아있는 기간에는 자료유출 정황이 없는 것으로 확인했다. 정부는 복제폰으로 인한 2차 피해 우려는 하지 않아도 된다고 강조했다.
           <br>
           <br> 다만 악성코드 감염 시점인 2022년 6월부터 지난해 12월 8일까지 약 2년 반 로그기록이 없는 기간에 유출 여부를 확인하는 것은 불가능했다.
           <br>
           <br> 
          </div>
          <figure class="figure_frm origin_fig" contents-hash="fd4e556a39eb618272bb98a66b945590993282efbb2c7971b02f5ba99ce75958" dmcf-pid="XwlnlhnbXk" dmcf-ptype="figure">
           <p class="link_figure"><img alt="사고 원인 분석 인포그래픽. 과기정통부 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/dt/20250704161128441pewn.jpg" data-org-width="640" dmcf-mid="WovovSo9Yr" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/dt/20250704161128441pewn.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            사고 원인 분석 인포그래픽. 과기정통부 제공
           </figcaption>
          </figure>
          <div contents-hash="165dfff7fa9878594757aeb4489c615ecfae39796661f55a9e18a2d506d808c8" dmcf-pid="ZrSLSlLKXc" dmcf-ptype="general">
           <br> 
          </div>
          <h3 contents-hash="f545420eca0d7f59b234aabef5f59cb0c5d5e976f3e414817ccc5397713320f3" dmcf-pid="5mvovSo9YA" dmcf-ptype="h3"><strong>2022년 침해 정황도 은폐…조사단, SK텔레콤의 보안 거버넌스 전반 지적</strong></h3>
          <div contents-hash="db8ddc8145eccc9b7e696902aa903b05c02fcb813a28b52064ac0bb4d76dff9e" dmcf-pid="1sTgTvg2Hj" dmcf-ptype="general">
           <br> 조사단은 사고의 주요 원인으로 △서버 내 계정정보 평문 저장 △과거 침해사고 대응 미흡 △주요정보 암호화 조치 미흡 등을 지적했다. 특히 2022년 발생한 악성코드 감염을 SK텔레콤이 인지하고도 정부에 신고하지 않은 사실도 드러났다.
           <br>
           <br> 음성통화인증 관리 서버(HSS) 등 주요 인프라의 계정정보를 평문으로 저장한 점은 공격자의 장기간 잠입과 침투를 가능하게 한 핵심 원인으로 꼽혔다. 이와 함께 유심 복제에 악용될 수 있는 핵심 정보인 유심 인증키(Ki) 값을 암호화하지 않은 점은 세계이동통신사업자협회(GSMA) 권고 및 타 통신사인 KT, LG유플러스 등의 보안 관행과 비교해 관리 부실로 지적됐다.
           <br>
           <br> SKT가 사건 이후 도입한 유심보호서비스와 부정사용탐지시스템(FDS 2.0)은 일부 피해 우려를 차단하는 데 기여했다. 다만 유심보호서비스 가입자는 5만명에 불과해 실효성 논란이 제기됐다.
           <br>
           <br> 
          </div>
          <h3 contents-hash="11e685023c95f71f90776be0a09808cff543f2ec4359ed94b507205f2a6795b4" dmcf-pid="tOyayTaVHN" dmcf-ptype="h3"><strong>정부 “위약금 면제 불이행 시 등록취소도 검토”</strong></h3>
          <div contents-hash="00b486ceb907c5d7ac79133d8a1443d52480047948ea68ffb711b5704d99e836" dmcf-pid="Fnc4cA411a" dmcf-ptype="general">
           <br> 과기정통부는 SK텔레콤의 약관인 제43조를 근거로 해당 사고가 ‘회사의 귀책 사유로 인한 계약 해지’에 해당한다고 판단했다. 4월 18일 유출 시점 기준으로 피해 가능성이 있는 모든 이용자는 위약금 면제 대상에 해당한다. 이후 번호 이동 이용자도 위약금 환불 조치가 이뤄져야 한다는 입장이다.
           <br>
           <br> 정부는 총 5곳의 법률 자문을 추가로 진행한 결과, 4개 기관에서 “SK텔레콤의 과실이 명백하며, 위약금 면제 요건에 해당한다”는 의견을 제시받았다. 다만 과기정통부는 “모든 사이버 침해사고에 위약금 면제 규정이 자동 적용되는 것은 아니다“며 ”이번 사례는 유심정보 유출이라는 중대한 계약 위반이 확인된 특수 사례”라고 강조했다.
           <br>
           <br> 정부는 SK텔레콤이 위약금 면제를 거부할 경우 전기통신사업법 제92조에 따른 시정명령 및 등록취소 등 법적 조치를 취할 수 있다는 입장을 밝혔다. 향후 이행 여부를 점검하고, 미이행 시 추가 조치에 나설 방침이다. 류제명 2차관은 “SKT가 정부 판단을 수용하지 않을 경우 전기통신사업법 제92조에 따라 시정명령 등이 가능하다”며 “시정요구 미이행 시 행정조치나 (기간통신사업자)등록 취소 등 행정 절차가 진행될 수 있다”고 말했다.
           <br>
           <br> 휴대전화뿐 아니라 IPTV, 인터넷 등 결합상품과 얽힌 위약금 면제와 관련해서는 “SKT가 수용하는 것으로 발표하면 소비자 혼란을 겪지 않도록 구체적인 기준이나 절차를 제시할 것”이라고 덧붙였다.
           <br>
           <br> 과기정통부는 이번 사건을 계기로 통신사업자의 정보보호 의무 강화와 함께 민간 전반의 사이버 보안 체계 정비 필요성을 강조했다. 향후 정보보호 체계 개선과 법제도 정비를 위해 국회 과방위 내 태스크포스(TF)와 제도 개선을 논의할 예정이다.
           <br>
           <br> 정부는 SKT와 같은 수준으로 실시한 KT·LG유플러스에 대한 해킹 여부 조사에서는 문제점이 파악되지 않았다고 밝혔다. 네이버·카카오·쿠팡·배달의민족 등 플랫폼 4사에 대한 조사는 진행 중으로 추후 결과를 발표할 계획이다.
           <br>
           <br> 유상임 과기정통부 장관은 “AI 시대에는 사이버 위협이 지능화될 것”이라며 “정부는 보안 체계를 전면 개편해 국민이 안심할 수 있는 디지털 환경을 구축하겠다”고 밝혔다.
           <br>
           <br> 김나인 기자 silkni@dt.co.kr
          </div>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p>

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

4년 전부터 보안 뚫린 SKT…정부 “SKT 귀책, 위약금 면제해야”

멤버랭킹

관련자료

멤버랭킹