과학기술정보통신부는 4일 SK텔레콤 침해사고 민관합동조사단(이하 ‘조사단’)의 조사 결과와 SK텔레콤 이용약관의 위약금 면제 규정에 대한 검토 결과를 발표했다. 피해 규모와 관련해선 총 28대 서버에서 33종의 악성코드가 발견된 것으로 최종 결론을 내렸다. 국민적 관심사인 위약금 문제에 대해선 가입자가 해지 시 위약금 면제가 타당하다는 정부 입장을 밝혔다.
◇ 33종 악성코드 발견... 단말기식별번호 유출 정황은 없어
4일 과기정통부에 따르면 조사단은 4만2605대 서버에 대해 강도 높은 조사를 진행, BPFDoor, 타이니쉘, 웹쉘 등 33종의 악성코드를 확인했다. 유출된 정보는 유심정보와 전화번호, 가입자 식별번호(IMSI) 등이며, 유출 규모는 약 9.82GB, IMSI 기준 약 2696만 건이었다. 조사 결과, 감염된 서버에서는 IMEI(단말기식별번호)와 CDR(통신기록) 등의 중요한 정보가 평문으로 저장된 서버가 발견됐지만, 정밀 분석 결과 정보 유출은 확인되지 않았다. 다만, 유심정보는 4월 18일 HSS 관리서버에서 유출되었으며, 외부 서버를 통해 전송됐다.
조사단은 초기 침투(‘21.8월~) 과정에서 공격자가 시스템 관리망 내 서버에 접속해 악성코드를 설치하고, 이를 통해 HSS 관리서버 및 코어망으로 침투한 것으로 파악했다. 이후 공격자는 고객 관리망 내 서버에 접속해 추가 악성코드를 설치했다. 정보유출(‘25.4.18일)에서는 확보한 계정 정보로 여러 서버에 악성코드를 추가 설치한 후, 유심정보를 외부로 유출했다고 결론을 내렸다.
과기정통부는 SK텔레콤의 정보보호 체계에서 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 등의 문제점을 발견했다고 밝혔다. 특히, 계정 정보 관리 부실과 과거 침해사고 대응 미흡이 중요한 문제로 지적됐다. SK텔레콤이 비밀번호를 평문으로 저장하는 등 보안 관리에 부족함을 보였다는 것이다.
재발 방지 대책으로는 비밀번호 기록 및 저장을 제한하고, 암호화하여 저장하는 시스템 도입과 함께 다중 인증 체계를 도입하는 방안이 제시됐다. 또한, 침해사고 신고 의무 준수와 정보 암호화 등의 보안 강화 방안도 마련됐다.
과기정통부는 SK텔레콤에 대해 7월까지 재발방지 대책에 따른 이행계획을 제출받고, 이행 여부를 점검할 예정이다. 점검 결과에 따라 필요한 시정조치를 명령할 예정이며, 이를 통해 정보보호 강화 및 사이버 위협 대응 방안을 마련할 계획이다.
◇ 정부 “SKT 가입자 해지해도 위약금 면제로 결론”
과기정통부는 침해사고로 인한 위약금 면제 규정 적용 여부에 대해 법률 자문을 진행했다. 조사 결과, SK텔레콤의 과실이 확인되었고, 유심정보 유출이 통신서비스의 주요 의무를 위반한 것으로 판단되어, 위약금 면제 규정 적용이 가능하다고 결론지었다. 다만, 이는 이번 침해사고에 한정된 해석이며, 모든 사이버 침해사고에 적용되는 것은 아니다.
과기정통부는 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”며, “SK텔레콤은 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다. 또한, “다가올 AI 시대에는 사이버위협이 AI와 결합해 더욱 지능화될 것으로 예상되므로, 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편할 것”이라고 밝혔다.
이번 발표는 SK텔레콤뿐만 아니라 국내 모든 통신사와 기업들의 사이버 보안 강화에 중요한 경각심을 불러일으킬 것으로 예상된다.