⁠⁠⁠⁠⁠⁠⁠
SKT 침해사고 민관합동조사단 조사 결과 발표

유영상 SK텔레콤 대표이사(가운데)를 비롯한 임원진들이 지난 4월25일 서울 중구 SKT타워에서 SK텔레콤 이용자 유심(USIM) 정보가 해커 공격으로 유출된 것과 관련해 고개 숙여 사과하고 있다. /장윤석 기자

[더팩트ㅣ조소현 기자] SK텔레콤 유심 해킹 사태가 지난 2021년부터 악성코드가 심겨진 대규모 해킹 공격의 결과로 확인됐다. 정부는 SK텔레콤이 통신서비스 제공자로서의 의무를 다하지 못했다며, 피해 이용자에 대한 위약금 면제가 가능하다는 최종 판단을 내렸다.

4일 과학기술정보통신부는 SK텔레콤 침해사고 민관합동조사단의 최종 조사 결과를 발표했다. 조사단은 SK텔레콤이 지난 2021년 8월부터 내부 서버에 악성코드를 순차적으로 감염당한 사실을 확인했으며, 결정적인 유심정보 유출은 지난 4월18일 발생한 것으로 결론지었다. 침해 원인은 계정정보 관리 부실, 암호화 미비, 침해 대응 실패 등 전반적인 보안 관리 책임에 있다고 지적했다.

앞서 SK텔레콤은 지난 4월18일 오후 11시20분 비정상적인 대용량 데이터 전송을 인지, 이틀 뒤인 20일 오후 4시46분 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 이는 정보통신망법상 '사고 인지 후 24시간 이내 신고' 규정을 위반한 것으로, 과태료 부과 대상이다. 정부는 이를 중대한 침해사고로 판단, 4월23일 민관합동조사단을 구성해 전체 4만2605대 서버를 대상으로 두 달간 정밀 조사를 벌였다.

조사 결과, 총 28대 서버에서 악성코드 33종이 발견됐다. 악성코드는 BPF도어 27종을 포함해 타이니쉘 3종, 웹쉘 1종, 공개 소프트웨어(오픈소스) 악성코드 2종 등이다.

공격자는 지난 2021년 8월 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 최초 침투한 뒤, 평문으로 저장된 계정정보를 이용해 타 서버로 확장한 것으로 파악됐다. 같은 해 12월에는 음성통화인증 서버에 침입해 BPF도어를 설치했고, 2022년 6월부터는 고객관리망으로 거점을 확대했다. 2023년 11월부터 올해 4월까지는 다양한 서버에 추가 악성코드를 설치하며 내부 확장을 이어갔고, 결국 4월18일 음성통화인증 서버 3대에 저장돼 있던 유심정보 25종(9.82GB)을 외부 서버를 통해 유출했다. 가입자 식별번호(IMSI) 기준 약 2696만 건이 유출된 것으로 조사됐다.

또 일부 서버에는 단말기식별번호(IMEI), 개인정보, 통신기록(CDR) 등이 평문으로 임시 저장돼 있었으나, 최근 4개월간 로그가 남아 있는 기간에는 유출 정황이 확인되지 않았다. 다만 로그가 존재하지 않는 기간(최대 2년)에 대해서는 유출 여부 확인이 불가능했다고 설명했다.

류제명 과학기술정보통신부 제2차관이 4일 오후 서울 종로구 정부서울청사 브리핑실에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. /임영무 기자

SK텔레콤의 보안관리 체계에 대해 조사단은 △계정정보를 암호화 없이 평문 저장하고, △과거 침해 정황 인지에도 신고하지 않았으며, △유심 인증키를 암호화하지 않고 보관한 점 등을 주요 문제로 지적했다. SK텔레콤은 지난 2022년 2월 악성코드 감염 정황을 인지했으나, 당시 정부에 신고하지 않았고, 로그 확보도 미흡해 침투 흔적을 포착하지 못했다.

정보통신망법 위반 사항도 드러났다. SK텔레콤은 침해사고를 지연 신고했고, 과기정통부의 자료보전 명령을 받은 후 일부 서버를 포렌식이 불가능한 상태로 조치해 제출했다. 정부는 해당 건에 대해 과태료 부과 및 수사기관 수사를 의뢰할 예정이다.

이외에도 SK텔레콤은 연 1회 보안점검을 하면서 웹쉘 탐지를 누락했고, 협력사 소프트웨어 검증 없이 내부 서버 88대에 설치한 사례도 확인됐다. 정보보호 총괄 조직도 분리돼 있어 CISO가 전체 자산을 관리하지 못하는 구조였고, 보안 로그는 6개월이 아닌 4개월만 보관돼 추적에 어려움이 있었다.

설상가상 보안 인력과 투자 규모도 미흡했다. 지난해 공시에 따르면 SK텔레콤은 가입자 100만명당 보안인력이 15명, 투자액은 37.9억원에 불과, 통신 3사 평균(17.7명, 57.4억원)에 못 미치는 수준이었다.

정부는 SK텔레콤에 대해 재발방지 대책을 이달 중 제출받고, 8~10월 이행 여부를 점검한 뒤, 보완 필요 시 시정조치를 내릴 방침이다. 또 이번 사건을 계기로 통신망 보안 강화를 위한 법제도 개선, 민간 정보보호 투자 확대, 거버넌스 개편 논의도 병행할 계획이다.

정부는 위약금 면제 적용 여부도 최종 판단을 내렸다. SK텔레콤 이용약관 제43조는 "회사의 귀책 사유로 계약 해지 시 위약금을 면제한다"고 규정하고 있으며, 과기정통부는 사고 직후와 조사 완료 후 두 차례에 걸쳐 총 9개 법률기관에 자문을 의뢰했다.

그 결과, 대부분 자문기관은 SK텔레콤의 과실과 계약상 주요 의무 위반을 인정했고, 위약금 면제가 가능하다는 결론을 내렸다.

정부는 SK텔레콤이 유심정보 보호와 안전한 통신서비스 제공 의무를 다하지 못했고, 그 결과 이용자의 계약상 기대를 충족하지 못했다고 판단했다. 다만 이번 판단은 해당 사건과 약관에 국한된 것으로, 모든 사이버 사고에 일률적으로 위약금 면제가 적용되는 것은 아니라는 점을 분명히 했다.

유상임 과기정통부 장관은 "이번 침해사고는 국내 통신업계뿐만 아니라 전반적인 네트워크 기반 정보보호에 경종을 울리는 사건"이라며 "SK텔레콤은 1위 사업자로서 취약점을 철저히 개선하고, 정보보호를 경영 최우선에 두어야 한다"고 강조했다.

sohyun@tf.co.kr

발로 뛰는 더팩트는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '더팩트제보' 검색
▶이메일: jebo@tf.co.kr
▶뉴스 홈페이지: http://talk.tf.co.kr/bbs/report/write

Copyright © 더팩트. 무단전재 및 재배포 금지.