[비즈니스포스트] ‘안전한 통신서비스 의무 위반’, ‘보안 과실 귀책사유’, ‘보안관리와 침해사고 대응 미흡’, ‘침해사고 신고와 자료보전 위반’, ‘암호화 미흡’, ‘정보보호 거버넌스 미흡’.

지난 7월4일 SK텔레콤 해킹사고와 관련한 민관합동조사단 최종 조사결과 발표 때 배포된 보고서에 기재된 내용들이다.

최종 조사 결과를 보면, 이 회사가 과연 통신서비스를 제공하면서 개인 가입자 정보를 지키려는 최소한의 노력을 했는지 의문이 들 수밖에 없었다. 

그것도 국민의 절반에 가까운 가입자 2400만 명을 보유한 대한민국 1위 기간 통신사업자가 어쩌면 이리도 부실하기 짝이 없는 보안 상태를 유지하고도 사업자 자격을 유지할 수 있는 것일까 고개를 절레절레 흔들게 했다. 

우선 SK텔레콤은 관리자 서버의 로그인 아이디와 비밀번호 등 계정정보를 다른 서버에 평문으로 그대로 저장해놔, 해커가 쉽게 관리자 계정으로 서버에 접속해 악성코드를 설치할 수 있었다.

또 유심(USIM) 복제에 활용될 수 있는 유심 인증키 값, 가입자 통화내역 등도 암호화하지 않고 평문 상태로 저장·관리했다.

서버에 누가 접속했는지 알 수 있도록 하는 로그 기록을 6개월 이상 보관해야 하지만, 4개월치만 보관하고 나머지는 폐기했다.  
  
특히 SK텔레콤은 해킹을 당한 정황이 있는 서버 2대를 포렌식 분석이 불가능한 상태로 만들어 합동조사단에 제출했다. 과기정통부는 정보통신망법에 따라 해킹 원인 분석을 위해 서버 자료를 보전할 것을 명령했으나, 회사는 오히려 서버를 복원 불가능한 상태로 만든 것이다.

회사는 주요 개인정보 유출이 있는지 조사할 수 있는 서버를 포맷해 정부 조사를 방해했고, 증거인멸을 통한 사실 은폐를 시도했다는 의혹을 받고 있다. 이 사안은 경찰이 수사할 예정이다. 

이같은 보안 관리 부실로 총 28대 서버에서 악성코드 33종이 확인됐으며, 유출된 개인 유심 정보 규모는 9.82기가바이트(GB)에 달했다. 유출된 정보는 민감한 개인 전화번호, 가입자 식별번호, 인증키 값 등 25종이다.

해커의 최초 악성코드 설치는 당초 알려진 2022년 6월이 아니라 2021년 8월로 드러났다. 약 4년간 해커가 수시로 들락날락했는데도 전혀 알아차리지 못한 것이다. 

조사단의 해킹 서버 조사도 로그 기록이 남아있지 않은 2022년 6월부터 2024년 12월까지는 불가능했다. 이에 따라 실제 해킹 침해 범위와 정보 유출 피해가 훨씬 클 수 있다는 지적이 나온다. 

민관합동조사단은 부실한 계정 관리, 과거 침해사고 대응 미흡, 암호화 조치 미흡 등 해킹 사고에 대한 SK텔레콤의 과실이 명백하며, 안전한 통신서비스를 제공해야 할 사업자 의무를 위반했다고 판단했다. 

이에 따라 과학기술정보통신부는 SK텔레콤이 번호이동을 위해 서비스 가입을 해지하는 이용자를 대상으로 위약금을 면제해줘야 한다고 결정했다. 그렇지 않으면 전기통신법에 따라 시정명령을 내리고, 최악의 경우 사업자 등록취소 등의 조치까지도 할 수 있다고 엄포를 놨다. 
  이같은 엄포에 SK텔레콤은 4일 최종 조사결과 발표 뒤 바로 위약금 면제 수용 등 보상안을 내놨다. 

하지만 회사는 4일 조사단의 최종 결과 발표와 정부의 위약금 면제 결정 뒤, 면제 기간을 오는 7월14일로 단 10일만 부여했다. 

해킹 사고의 귀책사유가 있는 기업이 자의적으로 위약금 면제 기간을 정하는 것 자체가 어불성설이다. 그것도 피치 못한 사정이 있는 소비자나 도서산간 벽지 이용자들이 시간을 내 가입을 해지하기에는 턱없이 부족한 단 10일로 기간을 한정한 것은 대규모 개인정보 유출의 중대 과실이 있는 기업이 진정성 있게 반성하며 내놓은 보상안이 아니다. 

이는 단지 추가 가입자 이탈을 막아보겠다는 ‘눈 가리고 아웅’ 하는 식의 꼼수 보상안이란 비판을 면키 어렵다. 

이달 15일부터 삼성전자의 새 폴더블 스마트폰 갤럭시 폴드7·플립7 사전 예약이 시작되고, 22일부터는 단통법이 폐지돼 이동통신사 간 가입자 유치 경쟁이 치열해질 것이기 때문에 위약금 면제 기간을 더 주면 상당한 가입자 이탈이 불가피하다고 SK텔레콤 측은 판단한 것으로 해석된다.

이처럼 명백한 보안 관리 과실이 증명된 기업이 스스로 위약금 면제 기간을 단 10일로 한정하는 꼼수 보상안을 내놨는데도, 과기정통부는 그저 “상황을 지켜보고 있다”는 입장만 내놨다. 

또 보안 과실에 대한 책임을 엄중히 물어 영업정지 등 제재를 통해 ‘일벌백계’ 해야 함에도, 과기정통부는 서둘러 제재 조치 결정을 내리겠다는 태도는 취하지 않고 있다.    

류제명 과기정통부 2차관은 지난 4일 "서버를 초기화해 조사를 방해한 행위에 대한 경찰 수사 결과가 나와 고의성이 있는지 여부와 함께 SK텔레콤의 재발방지 대책에 따른 이행 계획(7월 제출)과 이행 여부 점검(11~12월) 결과 등을 보고 할 것"이라고 했다. 

국민 절반이 쓰는 이동통신사의 개인정보가 무더기로 유출되는 사상 초유의 사건이 발생했는데도, 정부가 엄중한 제재에 대한 언급조차 없다는 것은 사실상 ‘통신사 봐주기’를 하려는 것 아니냐는 의혹을 떨칠 수 없다. 

이재명 대통령은 지난 3일 수석보좌관 회의에서 국가안보실로부터 SK텔레콤유심 해킹 사건에 대한 대응 현황을 보고받은 뒤 “계약 해지 과정에서 회사의 귀책사유로 피해자들이 손해를 보는 일이 없어야 한다”며 “법률 해석을 피해자 쪽으로 적극적으로 해야 한다”고 했다. 

소비자 보상책을 내놓고, 재발방지 대책도 내놓을 것이니 유야무야 넘어간다면, 앞으로 이같은 초유의 해킹 사고는 또 발생할 수밖에 없다. 분명한 보안 과실에 엄중히 책임을 묻고, 그에 상응하는 엄벌을 내려야 같은 사고가 되풀이되지 않을 것이다.  김승용 산업&IT 부장