SK텔레콤 해킹 사고, 정부 '이용자 위약금 면제해야'

과학기술정보통신부(이하 '과기정통부')가 4일 SK텔레콤 해킹 사고에 대한 민관 합동조사단의 최종 조사 결과를 발표했다.
이날 오후 2시 정부서울청사에서 진행된 전수 조사 결과 발표에서는 SKT 서버 4만 2600대에 대한 해킹 사고의 원인과 SK텔레콤의 대응, 향후 정부의 조치 방향 등이 다루어졌다.
지난 4월 23일 과기정통부를 주축으로 민관 합동 조사단이 구성되어 이같은 내용에 대한 전수 조사가 이루어진 바 있다.
정부는 "이번 침해 사고는 SK텔레콤의 중대한 과실로 발생했다"며, 고객이 계약을 해지할 경우 SK텔레콤 이용약관 제43조에 따라 위약금 면제 대상에 해당한다고 밝혔다.
해당 조항은 사업자의 귀책 사유가 있을 경우 고객에게 위약금을 부과하지 않도록 명시하고 있다.
이 같은 발표는 전날 이재명 대통령이 "계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다"고 강조한 데 따른 후속 조치로 보인다.
2021년부터 침투…비밀번호·무방비 서버 뚫려
조사단에 따르면 해킹의 시작은 예상보다 훨씬 이른 2021년 8월 6일로 파악됐다.
해커는 인터넷과 연결된 시스템 관리망의 한 서버에 악성코드를 심은 뒤, 이를 발판 삼아 다른 내부 서버로 접근한 것으로 보인다.
특히 관리자 계정 정보가 암호화 없이 평문으로 저장돼 있었던 점이 치명적인 보안 구멍이었던 것으로 전해졌다.
이후 해커는 2021년 12월 SK텔레콤의 핵심 네트워크인 음성통화 인증 서버(HSS)에 침투해, 리눅스 기반의 은닉형 악성코드인 'BPF도어' 계열을 포함한 총 33종의 악성코드를 설치했다.
이 악성코드는 내부 서버를 장기간 제어하는 데 사용된 것으로 분석된다.
지난 4월, 해커는 HSS 서버 3대에 저장돼 있던 9.82GB 분량의 유심 정보를 외부로 유출했는데, 이는 가입자 전체의 유심 정보로 추정된다.
조사단은 또 "공급망 보안 관리 취약으로 악성코드 1종이 SKT 서버 88대에 유입된 것을 확인했다"고 했으나, 이는 이번 침해사고와는 연관이 없다고 밝혔다.
조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했다.
무엇이 일을 키웠나

조사 결과 SK텔레콤은 이미 2022년 초 이상 징후를 인지했음에도, 외부에 알리지 않고 자체적으로 대응하려 했던 것으로 밝혀졌다.
2022년 2월 한 서버의 비정상적인 재부팅을 감지하고 내부 점검에 나섰지만, 관련 로그기록 6개 중 단 한 개만 점검해 해커의 침투를 파악하지 못한 것이다.
이에 대해 조사단은 SK텔레콤이 신고 의무를 위반한 혐의로 3천만원 이하 과태료 부과 대상이라고 밝혔다.
또한 시스템 관리망 내 서버 계정 비밀번호는 변경 이력도 없고, 만료일도 설정돼 있지 않았던 것으로 전해졌다.
일부 정보는 암호화 없이 저장돼 있었으며, 유심 인증키 값조차 암호화되지 않은 것으로 드러났다.
유심 복제에 활용될 수 있는 중요 정보인 유심 인증키 값을 암호화 하도록 하는 국제이동통신사업자협회의 권고사항을 따르지 않은 셈이다.
한편 SK텔레콤은 해킹 발생 직후인 지난 4월에도 신고 시한인 24시간을 넘겨 신고해, 늑장 대응 논란이 일기도 했다.
이 뿐만 아니라 정부의 자료 보전 명령에도 불구하고, 일부 서버는 포렌식 분석이 불가능한 상태로 제출돼 수사기관의 수사 대상이 될 것으로 보인다.
정부 조치와 향후 대책은?
과기정통부는 SK텔레콤이 보안 관리와 사고 대응 모두에서 중대한 과실이 있었다고 판단했다.
이에 따라 사고 이후 번호이동을 한 고객에게는 위약금 환불이 이뤄져야 하며, 계약 해지를 원하는 고객에게 위약금을 부과해서는 안 된다고 강조했다.
정부는 이날 발표가 SK텔레콤과의 협의 없이 이루어진 것이라며, SK텔레콤이 위약금 면제에 반대할 경우 전기통신사업법에 따라 시정명령을 내릴 수 있으며, 이행하지 않으면 등록 취소 등 행정처분도 가능하다고 밝혔다.
아울러 이번 사고에 대해 총 4곳의 법률기관에 자문을 구한 결과, 다수의 전문가가 SK텔레콤의 과실과 계약 위반을 인정하고 위약금 면제가 정당하다는 의견을 제시했다고 덧붙였다.
정부는 SK텔레콤에 대해 이달 안에 재발 방지 대책을 담은 이행 계획을 제출하라고 요구했으며, 연말까지 그 이행 여부를 점검하겠다고 밝혔다.
주요 개선 과제로는 ▲모든 자산의 보안 점검 분기별 실시 ▲서버 접속 시 다중 인증 도입 ▲CISO(정보보호 최고책임자)의 CEO 직속화 ▲6개월 이상 로그 기록 보관 등이 포함됐다.
SK텔레콤 또한 4일 서울 중구 본사에서 정보보호혁신안을 발표하며 즉각 대응에 나섰다.
이날 유영상 SKT 대표는 정부가 요구한 위약금 면제에 대해서 해킹 사고 이후부터 이달 14일까지 해지 혹은 해지 예정인 가입자에 대해 받아들이겠다고 밝혔으며, 그 외에도 8월 요금 50% 할인, 매월 데이터 추가 제공 등 5천억원 규모의 '고객 감사 패키지'와 함께 향후 5년간 총 7천억원 규모를 투자하는 방안을 제시했다.
SKT는 침해 사고가 일어난 4월 18일 기준으로 가입 약정이 남은 가입자 중 침해사고 이후 해지한 경우와 오는 14일까지 해지 예정인 가입자를 대상으로 위약금을 면제할 예정이다.
이와 더불어 정보보호 기금 100억원을 출연해 국내 정보보호 생태계 활성화에도 나설 방침이다.
유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사고였다"며 "정부도 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있게 지원하겠다"고 밝혔다.