
[사진=나선혜기자]
과학기술정보통신부(과기정통부)는 4일 SK텔레콤(SKT) 유심(USIM) 해킹 사고와 관련해 민관합동조사단(이하 조사단)의 조사 결과, 유심 정보 25종이 유출됐다고 밝혔다. 위약금 면제가 가능하다는 발표와 함께 정부 방침에 반대되는 입장을 표명하는 경우, 기간통신사업자 등록 취소도 고려하겠다는 입장도 내놨다.
류제명 과기정통부 제 2차관은 이날 서울 종로구 정부서울청사에서 브리핑을 열고 "정부 방침에 반대되는 입장을 표명하는 경우 전기통신사업법상 절차대로 시정 명령을 요구하고 시정 명령이 진행되지 않는다면 관련 행정조치를 취할 것"이라고 말했다.
이어 "전기통신사업법 20조에 따라 기간통신사업자 등록 취소 등도 법적으로 고려할 것"이라고 덧붙였다.
이날 과기정통부는 유심 면제 규정에 대해서도 설명했다. 류 차관은 "법률 자문 결과 이번 침해 사고를 SKT의 과실로 판단했다"며 "유심 정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무 위반임으로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다"고 했다.
구체적으로 당시 SKT는 유심 보호를 위해 부정사용방지시스템(FDS)과 유심보호서비스를 운영하고 있었지만, 유심보호서비스 가입자는 약 5만 명에 불과했고, FDS 1.0 역시 유심 복제를 차단하는 데 한계가 있었다는 이유에서다.
△계정 정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등 여러 보안상 문제점을 드러냈으며, 이 과정에서 정보통신망법 위반 사실도 확인된 점도 SKT의 과실로 인정됐다.
과기정통부는 위약금 면제 여부도 소급 적용이 가능하다고 밝혔다. 류 차관은 "지난 4월 18일 기준 정부가 위약금 면제를 해야한다고 가정하는 상황으로 해석한다면 유출된 2695만건에 해당하는 고객 모두가 다 위약금 면제가 가능하다고 판단한다"고 짚었다.
이날 조사단은 조사 과정도 설명했다. 조사단은 4월 23일부터 5월 27일까지 SKT의 전체 서버 4만2605대를 대상으로 정밀 조사를 진행했다. 이 중 28대 서버를 포렌식 분석한 결과, 총 33종의 악성코드가 확인됐다. 유출된 유심 정보는 전화번호, 가입자식별번호(IMSI) 등 총 25종이며, 유출된 데이터 용량은 9.82GB, IMSI 기준으로 약 2696만 건에 달한다.
조사단은 이번 사고의 원인으로 △계정 정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 미조치 등을 지적하고, SKT에 재발방지 대책 마련을 촉구했다.
이에 따라 SKT는 △서버 내 비밀번호 저장 제한·암호화 △접속 인증체계 도입 △보안 솔루션 확대 △분기별 보안 취약점 점검 등을 시행해야 한다. CISO를 대표이사 직속으로 배치하고, CIO 직책을 신설하며, 정보보호 인력과 예산도 다른 통신사 이상 수준으로 확대하라고 권고했다.
류 차관은 "과기정통부는 7월까지 SKT의 재발 방지 대책에 따른 이행 계획을 제출하도록 할 예정"이라며 "이후 이행한 결과를 연말까지 점검하고 점검 결과 보완이 필요한 사항에 대해서는 정보통신망법 제 48조에 따라 시정 조치를 명령할 계획"이라고 했다.
아울러 조사단은 SKT가 △침해사고 신고 지연·미신고 △자료 보전 명령 위반 등 '정보통신망법'상 의무를 위반했다고 밝혔다. 이에 과태료를 부과하고 자료보전 위반 건에 대해서는 수사기관에 수사를 의뢰할 방침이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지