[IE 산업] 정부는 SK텔레콤(SKT) 서버에 최소 4년 전부터 해커 조직이 침투했지만, 주의 의무를 다하지 않았기에 SKT에 귀책 사유가 있다고 결론을 내렸다.

4일 과학기술정보통신부(과기정통부)는 이날 오후 정부서울청사에서 열린 최종 조사 결과 발표를 통해 지난 4월 발생한 SKT 유심 해킹사고에 SKT 과실이 있었을뿐더러, 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점을 고려해 회사 약관상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 알렸다.

앞서 정부는 법률 자문기관이 제시한 법리에 기준을 두고 SKT 입장, 침해사고로 인한 결과의 중대성을 종합 검토했다.

이 자리에서 한국인터넷진흥원(KISA)과 민간 전문가로 구성된 민관합동조사단은 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 중 서버 A에 접속한 뒤 타 서버에 들어오기 위해 악성코드(CrossC2)를 지난 2021년 8월6일에 설치했다고 설명했다.

서버 A에는 시스템 관리망 서버들의 계정 정보가 평문으로 들어있었는데, 해커는 이 계정정보를 활용해 타 서버에 접속한 것으로 보인다. 해커는 이렇게 들어간 서버에 담긴 음성통화인증(HSS) 관리서버 계정 정보를 활용, 같은 해 12월24일에 접속 후 HSS에 BPF도어를 설치했다.

결국 해커는 올해 HSS 3개 서버에 저장된 9.82GB 유심정보를 외부 인터넷 연결 접점이 있는 서버를 거쳐 정보를 유출한 것으로 추측된다.

과기정통부는 SKT가 ▲계정 정보 관리 부실 ▲과거 침해 사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등의 문제를 일으켰다고 했다.

또 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)을 위반한 사실도 밝혀졌다. SKT가 지난 2022년 2월23일 특정 서버에서 비정상 재부팅이 발생, 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견했지만, 정보통신망법에 따른 신고 의무를 이행하지 않은 것.

더불어 점검 과정에 SKT는 HSS 관리서버 6대 중 1대만 확인해 BPF도어 악성코드를 발견하지 못한 것으로 나타났다.

이에 따라 과기정통부는 SKT에 귀책이 있으며 이 회사 이용약관 제43조에 따라 고객이 해지할 경우 위약금 면제 사유에 해당한다고 제언했다. 

과기정통부는 이달까지 SKT에 재발 방지 대책에 따른 이행계획을 제출하도록 요구했으며 오는 10월까지 SK텔레콤 이행 여부 결과를 보고받을 예정이다. 이후 올해 말까지 계속 점검한 뒤 보완이 필요한 사항이 있을 경우 정보통신망법 제48조의4에 따라 시정조치를 명령한다는 방침이다.

과기정통부 류제명 2차관은 "SKT가 정부 방침에 반대되는 입장을 표명할 시 시정명령을 요구하고 진행이 안 된다면 (기간통신사업자) 등록 취소 등 행정조치를 취할 것"이라고 말했다.

그러면서 "정부가 구체적인 입장을 설명했기 때문에 SKT가 내부 검토를 하고 있을 것"이라며 "국민 관심이 높은 사안이기 때문에 SKT가 이른 시일 내 보상방안을 내놓지 않을까"라고 덧붙였다.

/이슈에디코 김수경 기자/