정부 “SKT 해킹, 회사 귀책 명백”⋯위약금 면제 가능성 열렸다

▲유영상 SK텔레콤 대표이사가 30일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 청문회에서 인사하고 있다. 고이란 기자 photoeran@

정부가 SK텔레콤의 대규모 해킹 사태를 두고 ‘위약금 면제’ 규정을 적용할 수 있는 사유로 판단했다. 이번 사고에서 SKT의 과실이 드러났고 통신사로서 핵심 의무인 안전한 통신서비스 제공을 제대로 이행하지 못했기 때문이다.

4일 과학기술정보통신부는 SKT 침해사고 민관합동조사단의 조사 결과와 SKT의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다.

SKT 유심 정보 침해 사고 이후 과기정통부는 위약금 면제 조항의 적용 여부에 대해 총 9곳의 법률 자문을 진행했다. SKT 이용약관 제43조는 ‘회사의 귀책사유로 인한 해지 시 위약금을 면제한다’고 명시하고 있다.

1차 자문은 사고 초기에 4개 기관의 법률 자문을 통해 진행됐다. 이들은 공통으로 SKT의 과실이 인정될 경우 위약금 면제가 가능하다는 의견을 냈지만 당시엔 구체적인 조사 결과가 없어 판단에 한계가 있었다.

이후 과기정통부는 조사단의 조사가 마무리되는 시점인 6월 26일부터 7월 2일까지 5개 기관에 추가 자문을 의뢰했다. 이 가운데 4개 기관은 이번 침해사고는 SKT의 과실이며 안전한 통신서비스 제공이라는 계약을 위반했으므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 나머지 한 곳은 “현재 자료로는 판단이 어렵다”며 판단을 유보했다.

정부는 자문 결과를 바탕으로 크게 두 가지 쟁점을 중심으로 판단했다. 첫째는 SK텔레콤의 과실 여부, 둘째는 계약상 주된 의무인 안전한 통신서비스 제공 책임을 이행했는지 여부다.

정부는 이번 침해사고에 SKT의 과실이 있다고 판단했다. 구체적으로는 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미비 등 문제다. SKT가 정보통신망법을 위반한 사실도 확인됐다. 정부는 이 같은 정황을 종합할 때 “SK텔레콤이 사업자로서 일반적으로 기대되는 주의 의무를 다하지 못했다”고 판단했다.

또한 SKT가 유심 정보를 침해사고로부터 보호해 안전한 통신서비스를 제공할 의무를 다하지 못했다고 봤다. 정보유출 당시 SKT는 유심 정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호 서비스를 운영 중이었으나, 유심보호 서비스에는 약 5만 명만 가입한 상태였다. FDS 1.0은 유심 정보 유출로 인한 모든 유심복제 가능성을 차단하는 데는 한계가 있었다.

특히 이번 침해사고로 유출된 유심정보는 다른 보호조치가 없다면 복제폰을 생성하는 데 악용될 수 있다. 이용자에게 걸려온 전화․문자를 제3자가 가로챌 수 있는 가능성도 있었다.

조사단은 개인정보 관리 부실에 대한 책임이 SKT에 있다고 판단했다. 먼저 SKT는 서버 로그인 아이디와 비밀번호와 같은 계정정보를 타 서버에 평문(암호화되지 않은 문서)으로 저장했다. 이번 침해사고에서도 공격자는 암호화되지 않은 정보로 HSS 관리 서버와 HSS를 감염시켰다. 유심 복제에 활용될 수 있는 중요 정보인 '유심 인증키 값'도 암호화가 되지 않았다.

SKT의 침해사고 대응도 미흡했다는 지적이다. SKT는 정보가 유출된 HSS 서버에 존재하던 BPF도어 악성코드를 적시에 발견하지 못했으며 침해사고를 적시에 신고하지도 않았다. 이로 인해 정부 차원의 조사 및 점검도 이뤄질 수 없었다.

구체적으로 SKT는 2022년 2월 23일 특정 서버에서 일어난 비정상 재부팅을 발견했다. 이후 서버를 점검하는 과정에서 악성코드에 감염된 서버를 발견하여 조치했다. 그런데도 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따라 한국인터넷진흥원(KISA)에 신고 의무를 이행하지 않았다.

당시 SKT는 이번 침해사고에서 감염이 확인된 HSS 관리서버(2021년 12월 감염)에 비정상 로그인 시도가 있었던 정황도 포착했다. 그러나 해당 서버에 대한 로그 기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다.

조사단은 SKT의 정보보호 활동이 미흡했던 점과 침해사고 대응이 체계적으로 가동되지 않는 사실을 확인했다. SKT는 자체 규정에 따라 연 1회 이상 서버 보안점검을 하고 있으나 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않았다.

또한, SKT는 전화번호의 마스킹 규칙 정보를 통화 상세 기록(CDR)이 임시 저장된 서버에 함께 보관했다.

공급망 보안 관리에도 소홀했다. SKT는 협력업체로부터 공급받은 소프트웨어를 충분히 점검하지 않은 채 내부 서버 88대에 설치했다. 이 과정에서 해당 소프트웨어에 포함돼 있던 악성코드가 유입된 것으로 나타났다. 다만, 이 악성코드가 실제로 SK텔레콤 시스템에서 실행된 흔적은 없는 것으로 조사됐다.

정보보호 거버넌스 체계도 미흡했다. 정보통신망법 제45조의3에 따라 정보보호 최고책임자(CISO)는 정보보호 업무를 총괄해야 하지만, SK텔레콤은 보안 업무를 IT 영역(자산의 57%)과 네트워크 영역(자산의 43%)으로 분리해 운영하고 있었다. 현재 CISO는 정보기술(IT) 영역만 담당하고 있는 것으로 확인됐다.

결론적으로 과기정통부는 이번 침해 사고가 SKT 이용약관 제43조에 따른 위약금 면제 대상인 ‘회사 귀책사유’에 해당한다고 판단했다. 다만 과기정통부는 이번 판단이 SK텔레콤의 약관과 이번 사고에 한정된 것임을 분명히 하며 모든 사이버 침해사고가 위약금 면제 사유로 자동 적용되는 것은 아니라고 선을 그었다.

유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”면서 “이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다.