정부가 SK텔레콤(SKT) 유심(USIM) 정보 해킹 사고에 대해 SKT에 귀책사유가 있다고 판단, 계약 해지를 원하는 이용자들에게 위약금을 면제해야 한다고 밝혔다.

과학기술정보통신부는 4일 정부서울청사에서 SKT 침해사고 민관합동조사단 조사 결과를 발표하면서 "이번 침해사고에서 SKT의 과실이 발견된 점, SKT가 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 위약금을 면제해야 하는 회사의 귀책사유에 해당한다"고 밝혔다.

과기정통부는 지난달 26일부터 이달 2일까지 5개 법률자문 기관에 이번 해킹 사태가 SKT 이용약관 43조의 귀책사유에 해당되는지 자문을 의뢰했다. SKT 이용약관 제43조는 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다.

법률 자문 결과 5개 중 4개 기관이 이번 침해사고가 SKT의 과실이라고 판단했다. 다만 1개 법률자문 기관은 '현재 자료로 판단이 어렵다'고 유보했다. SKT 과실 판단을 한 기관들은 "유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다"는 의견을 제시했다.

과기정통부도 이번 조사에서 SKT의 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등의 문제가 발견됐다며 SKT에 과실이 있다고 봤다.

또 사고 이후 SKT가 '부정사용방지시스템(FDS)' 등 유심정보 보호 조치를 취했지만, 모든 유심복제 가능성을 차단하는데는 한계가 있었던 상황이었다고 지적했다. 과기정통부는 "SKT가 유심정보를 침해사고로부터 보호해서 안전한 통신서비스를 제공할 의무를 다하지 못한 것으로 판단했다"고 밝혔다.

다만 과기정통부는 이번 판단에 대해 "SKT 약관과 이번 침해사고에 한정된다"고 단서를 달았다. 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석을 내린 것은 아니라고 선을 그은 것이다.

4년 전 악성코드 설치...2022년 감염서버 발견하고도 신고 않아

이번 민관합동조사단 조사 결과에서는 SKT의 총체적인 서버 관리 부실이 드러났다. SKT는 서버에 접속할 수 있는 ID와 비밀번호를 암호화하지 않았고, 4년 전에 악성코드에 감염됐는데도 이를 발견하지 못했다.

조사단에 따르면 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어(Door) 27종을 포함한 악성코드 33종을 확인했다. 구체적으로 BPF도어 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종)이다. 이중 웹쉘, 타이니쉘은 웹 페이지의 파일 업로드 기능을 통해 감염을 시도하는 악성코드로, 방어 난이도가 높지 않은 것으로 알려졌다.

조사단은 감염 서버 중 2대에서 단말기식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 암호화되지 않은 채 임시 저장돼 있던 것을 확인했다. 또 통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보가 담긴 통신기록(CDR)이 평문으로 임시 저장된 서버 1대도 발견했다.

이와 관련, 조사단은 방화벽 로그기록이 남아있는 기간(2024년12월 3일~2025년 4월 24일)에는 자료 유출 정황이 없는 것을 확인했다. 다만 악성코드 감염 시점인 2022년 6월 15일부터의 로그기록이 없어 해당 기간에는 유출 여부는 알 수 없다.

조사단은 해킹 시도가 4년 전인 지난 2021년부터 시작된 것으로 확인했다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 '서버A'에 접속 후 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일에 설치했다.

서버A에는 다른 서버들에 접속할 수 있는 ID와 비밀번호 등 계정 정보가 암호화되지 않은 평문으로 저장돼 있었다. 해커를 이를 악용해 시스템 관리망에 있는 또 다른 '서버B'에 접속한 것으로 조사단은 추정했다.

서버B에도 코어망 내 음성통화인증(HSS) 관리 서버 계정 정보가 평문으로 저장돼 있었고, 이는 이번 해킹 사태의 주요 서버인 HSS에 접속할 수 있는 열쇠가 됐다. 해커는 해당 계정 정보를 활용해 HSS 관리 서버에 접속 후, HSS 관리서버 및 HSS에 BPF도어를 설치했다.

SKT의 시스템 관리망을 마음대로 드나들 수 있게 된 해커는 2022년 6월 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정됐다. 이를 통해 해커는 2023년 11월 30일부터 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다. 초기 침투 과정에서 암호화되지 않은 계정 정보를 얻었기에 가능한 일이다.

이후 올해 4월 18일 HSS 3개 서버에 저장된 유심 정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버C를 거쳐 유출했다. 유출된 정보는 유심 복제가 가능한 정보인 IMEI를 비롯해, 이름, 전화번호, 생년월일 등 개인정보 9.82기가바이트(GB) 분량이다. 정보건수를 기준으로 약 2,696만건으로, SKT 전체 가입자 2,400만명 규모와 비슷하다. 가입자 대부분의 정보가 유출된 셈이다.

해커의 공격이 4년 전부터 진행됐는데도 SKT는 이를 눈치채지 못하고 있었던 것이다. 조사단은 "SKT는 시스템 관리망 내 서버의 계정 패스워드를 장기간 미변경했다"며 "패스워드 만료일이 설정돼 있지 않고, 변경한 이력이 없는 것으로 확인됐다"고 지적했다.

또 SKT는 3년 전에도 악성코드에 감염된 서버를 발견했으나 이를 신고하지 않았던 것으로 드러났다. 특히 이 과정에서 이번에 사고가 발생한 HSS 관리서버를 점검하기도 했으나 해커의 흔적은 놓쳤다. 조사단은 "해당 서버에 대한 로그기록 6개 중 1개만 확인해, 해커의 접속 기록을 확인하지 못했다"며 "이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPFDoor 악성코드도 확인하지 못했다"고 설명했다.

결국 악성코드 사례를 겪고 나서도 ID와 비밀번호를 변경하지도, 암호화하지도 않는 등 부실한 관리를 이어가면서 이번 사태를 키운 셈이다.

SKT는 이번 조사에서 정부의 자료 보전 명령을 위반한 것도 확인됐다. 조사단은 "SKT에 침해사고 원인 분석을 위해 자료 보전을 명령했으나, SKT는 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다"고 밝혔다.

이에 대해 과기정통부는 SKT에 대해 정보통신망법 위반으로 과태료 및 수사기관 의뢰 조치를 취할 방침이다.

정보통신망법 제48조의 4는 정보통신망 침해 사고에 대한 조사를 위해 과기정통부가 자료 보존을 명령할 수 있도록 했으며, 같은 법 제73조는 이를 어길 경우 2년 이하의 징역 또는 2천만원 이하의 벌금에 처하도록 명시하고 있다.

또 과기정통부는 SKT가 해킹 사고를 인지한 지 24시간이 지난 뒤 지연 신고한 것에 대해서도 정보통신망법 위반으로 보고 과태료를 부과할 예정이다. 정보통신망법은 지연 신고에 대해 최대 3천만원의 과태료를 부과할 수 있도록 정하고 있다.

과기정통부는 이 같은 SKT의 관리 부실에 대해 이달까지 SKT에 재발방지 대책에 따른 이행계획을 제출하도록 할 예정이다. 오는 10월까지 SKT의 이행 여부를 받고, 올 연말까지 점검에 나선다는 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 방침이다.

SKT, 위약금 면제 수용..."고객 보상에 5천억·정보보호에 7천억 투입"

SKT는 위약금을 면제해야 한다는 정부 입장을 수용하고, 고객보상과 정보보호책에 1조원 이상을 투입하겠다고 밝혔다. 

유영상 SKT 대표는 4일 서울 중구 본사에서 기자간담회를 열고 "이날 정부 발표 이후 긴급 이사회를 했고 격론 끝에 위약금 면제를 수용하는 것으로 결정했다"고 밝혔다.

SKT는 침해사고 관련 후속 대책을 마련하고 고객 신뢰를 회복하기 위한 '책임과 약속' 프로그램을 발표했다. 구체적으로 ▲침해사고로 인한 고객의 피해를 원천 차단하는 '고객 안심 패키지' ▲향후 5년 간 총 7,000억원 규모의 투자가 이뤄지는 '정보보호 혁신안' ▲2400만 SK텔레콤 고객이 모두 이용 가능한 5,000억원 규모의 '고객 감사 패키지' ▲약정고객 해지 위약금 면제 등으로 구성됐다.

위약금 면제에 대해 SKT는 침해사고 발생 전(4월 18일 24시 기준) 약정 고객 중 침해사고 이후 해지한 고객과 이달 14일까지 해지 예정인 고객을 대상으로 위약금을 면제하기로 결정했다. 해지를 희망하는 가입자는 오는 14일까지 위약금을 내고 SKT 가입을 해지한 뒤 15일부터 위약금 환급을 신청하면 된다. 환급 신청 후 일주일 이내에 고객이 지정한 계좌로 위약금이 환급된다. 위약금 면제 안내도 정부와의 협조를 통해 MMS 방식 등으로 이뤄질 예정이다.

유영상 대표는 "이번 침해사고에 대해 다시 한번 깊이 사과드리고, 고객이 안심하고 맡길 수 있는 수준의 정보보호 체계 구축에 최선을 다하겠다"고 사과했다.