4년간 해킹 대응 없어…"법적 의무 못지켜"
정부 "위약금 면제 미이행 시 시정명령 요구"
KT·LG 등 타 통신사 조사 결과 문제점 없어
정부 "위약금 면제 미이행 시 시정명령 요구"
KT·LG 등 타 통신사 조사 결과 문제점 없어
|
4일 과학기술정보통신부에 따르면 민관합동조사단은 이용약관 중 '회사의 귀책사유'에 해당되는 SKT의 정보보호 체계에 다수의 문제점이 발견됐다고 밝혔다. SKT 이용약관 제43조에는 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다.
조사단이 지적한 부분은 SKT가 해킹 정황을 포착했음에도 빠른 시일 내 신고하지 않은 점, 과거 해킹사고 당시 서버 로그기록을 일부만 점검하는 등 후속조치가 미흡했던 점 등이었다.
실제 이번 해킹의 초기 침투가 2021년 8월 6일에 이뤄졌으나 SKT는 별다른 조치를 취하지 않은 채 올해 4월 침해사고 인지 후 24시간이 지난 뒤에 정부에 신고했다. 특히 2022년 2월 특정 서버의 비정상 재부팅 현상으로 진행된 점검에서 악성코드에 감염된 서버를 발견했지만 정보통신망법에 따른 신고 의무를 이행하지 않았다. 또 점검 당시 기감염됐었던 음성통화인증(HSS) 관리서버 로그기록 6개 중 하나만 확인하며, 공격자가 서버에 접속한 기록을 확인하지 못했다.
이날 브리핑을 진행한 류제명 과기부 2차관은 "만약 SKT가 당시 나머지 5개의 로그기록도 점검했다면 그 당시 이미 BPF도어(BPFDoor) 악성코드에 감염돼 있었던 음성통화인증 관리서버에 공격자가 접속한 것을 확인할 수 있었을 것"이라고 지적했다. 아울러 세계이동통신사업자협회(GSMA) 등이 권고한 유심 인증키(Ki) 값을 암호화하지 않은 점도 조사를 통해 확인됐다.
과기부는 SKT의 보안체계에서 이 같은 문제점이 도출됨에 따라, 회사가 안전한 통신 서비스를 제공할 법적 의무를 다하지 못했다고 판단하며 위약금 면제 규정 적용이 가능하다는 결론을 내렸다. 또 이날 발표 이전 번호를 이동한 고객에게도 위약금 환불 조치가 이뤄져야 한다고 밝혔다.
정부는 SKT가 위약금 면제 조항을 이행하지 않을 경우, 전기통신사업법에 따라 사업자 등록 취소에 이르는 강경책을 검토하겠다는 방침이다.
류 차관은 "SKT가 정부 방침에 반하는 입장을 낸다면, 전기통신사업법상의 절차대로 시정명령을 요구하겠다"며 "이후에도 위약금 면제가 이뤄지지 않으면 전기통신사업법 20조 등록 취소와 행정조치 등 추가 대응을 검토할 것"이라고 밝혔다.
한편 민관합동조사단의 최종조사 결과만 봤을 때 추가 피해 우려는 없는 것으로 보인다.
류 차관은 "삼성전자를 비롯한 단말기 제조사 등에 문의한 결과, 단말기식별번호(IMEI)가 유출돼도 단말기 복제가 불가능하다는 답변을 들었다"며 "또 사업자 차원에서 복제유심과 복제폰을 통한 네트워크 접속을 차단하기 위한 노력을 지속하고 있다"고 말했다.
SKT 해킹 사고를 계기로 시작된 국내 주요 통신사 및 플랫폼에 대한 조사에서도 현재 까지 이상 징후가 나타나지 않았다.
최우혁 과기부 정보보호네트워크정책관은 "SKT에 준하는 조사가 이뤄진 KT와 LG유플러스 대상의 점검을 끝냈으며, 별다른 문제점이 발견되지 않았다"며 "네이버와 카카오 등 플랫폼 사업자 4곳에 대한 조사는 현재 진행 중으로, 조사 결과가 정리되는 대로 일괄 발표하겠다"고 말했다.
