과기정통부 "SKT 해킹 위약금 면제 사유...보안관리 미흡" (종합)

4일 민관조사단 조사결과 발표

"법률자문 결과 SKT 주요의무 위반"

"재발방지 이행계획 제출 요구 후 점검할 것"

[사진=SKT]

과학기술정보통신부가 SK텔레콤의 해킹 사태를 위약금 면제의 귀책사유로 판단했다.
 
SKT 침해사고 민관합동조사단은 SKT의 보안 관리가 미흡했으며, 타사 대비 정보보호 인력 및 투자 규모가 부족했다는 조사 결과를 내놓았다.
 
과기정통부는 4일 SKT 침해사고 민관조사단의 조사 결과와 위약금 면제 규정 검토를 통해 이같이 밝혔다.
 
과기정통부는 이번 침해사고를 계약상 주요 의무 위반으로 판단해 위약금 면제 사유로 봤다. SKT 이용약관 제43조는 회사의 귀책사유로 계약 해지 시 위약금 납부 의무가 면제된다고 규정한다.
 

과기정통부 관계자는 “사고 초기 4개 법률 자문기관을 통해 위약금 면제 가능성을 검토했다. 당시 자문기관들은 SKT의 과실이 인정될 경우 면제 규정 적용이 가능하다고 의견을 제시했다”며 “이후 조사 결과를 바탕으로 5개 기관에 추가 자문을 진행한 결과, 4개 기관이 SKT의 과실과 주요 의무 위반을 인정하며 위약금 면제 적용 가능성을 확인했다”고 위약금 면제 판단 이유를 설명했다.
 
이번 사태로 유출된 유심 정보는 9.82GB, 가입자 식별번호(IMSI) 약 2696만건에 달했다. 민관조사단의 조사 결과, 28대 감염 서버에서 BPF도어 27종을 포함한 33종의 악성코드가 확인됐다. 유출된 유심 정보는 전화번호, IMSI 등 25종이었다.
 
조사에서 지적된 문제점으로는 계정정보 평문 저장, 암호화 미흡, 과거 침해사고 미신고, 자료보전 명령 위반 등이 포함됐다. SKT는 침해사고 신고 지연 및 미신고, 자료보전 명령 위반으로 정보통신망법을 위반해 과태료 부과와 수사 의뢰가 예정됐다.
 
재발방지 대책으로는 계정정보 암호화, 다중인증 도입, 침해사고 신고 의무 준수, 주요 정보 암호화 강화, 보안 솔루션 확대, 공급망 보안 체계 구축, 정보보호 최고책임자 권한 강화, 로그기록 6개월 이상 보관, 정보보호 인력 및 투자 확대 등이 제시됐다.
 
과기정통부는 SKT에 재발방지 이행계획 제출을 요구하고 이행 여부를 점검할 계획이다. 미이행 시 정보통신망법에 따라 시정조치를 명령한다. 또한 통신망 보호를 위한 법제도 개선과 민간 정보보호 투자 확대 방안을 국회 TF와 논의할 예정이다.
 
유상임 과기정통부 장관은 “이번 침해사고는 국내 통신 업계뿐 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사건”이라며 “SKT는 국내 1위 이동통신 사업자로서 국민 생활에 큰 영향을 미치는 만큼, 이번 사고로 확인된 취약점을 철저히 조치하고 정보보호를 기업 경영의 최우선 순위로 삼아야 한다”고 밝혔다.