[상보] SKT 해킹 2696만 건 유출…정부 "위약금 면제 가능"

▲SK텔레콤 타워 전경 (사진제공=SK텔레콤)

정부가 SK텔레콤 해킹 사고로 위약금 면제 규정 적용이 가능하다는 판단을 내놓았다. SKT의 정보보호 활동 및 거버넌스 체계 미흡해 이번 침해 사고에 과실이 있다는 판단이다.

과학기술정보통신부가 4일 발표한 SK텔레콤 침해사고 민관합동조사단 조사 결과에 따르면, 유출 사고가 발생한 SKT 서버에는 BPFDoor 27종을 포함한 악성코드 33종이 확인됐다. 공격자는 2021년 8월부터 이뤄진 것으로 확인된 다년간의 공격으로 18일 HSS 3개 서버에 저장된 9.82GB 규모의 유심 정보를 유출했다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI·유심 내 저장되며, 통신사가 사용자 식별 시 사용) 등 유심 정보 25종이다. 유출 규모는 9.82GB, IMSI 기준 약 2696만 건이다.

SK텔레콤 해킹 초기 침투는 2021년 8월부터 이뤄진 것으로 확인됐다. 정부는 SKT 정보 보호 활동 및 거버넌스 체계가 미흡했다고 밝히며 법률 검토 결과 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 구체적으로 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미비 등 문제다. SKT가 정보통신망법을 위반한 사실도 확인됐다. 정부는 이 같은 정황을 종합할 때 “SK텔레콤이 사업자로서 일반적으로 기대되는 주의 의무를 다하지 못했다”고 판단했다.