[보안뉴스 강현주 기자] 정부가 SK텔레콤 유심 해킹 사고로 통신사를 옮긴 고객에 대해 위약금 면제가 가능하다는 판단을 내렸다. SKT의 개인정보 관리가 부실했다고 봤기 때문이다.
침해사고 신고를 늦게 하고 감염된 서버 등 자료를 보전하라는 명령을 지키지 않는 점은 위법하다고 보았다.
과학기술정보통신부는 4일 이 같은 내용의 SK텔레콤 침해 사고에 대한 최종 조사 결과를 발표했다.
▲류제명 과학기술정보통신부 제2차관이 4일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서 SK텔레콤 침해사고 최종 조사결과 관련 브리핑을 하고 있다. [자료: 과기정통부]
민관합동조사단이 SKT 전체 서버 42605대를 대상으로 점검한 결과, 총 28대의 서버에서 33종의 악성코드가 발견됐다. 9.82GB 규모의 유심 관련 정보 25종이 유출됐고, 이는 가입자식별번호(IMSI) 기준 2696만건에 해당한다. 지난 5월 2차 발표에 비해 악성코드 5종이 추가 발견됐다.
감염 서버 중엔 단말기식별번호(IME)와 이름, 생년월일, 전화번호, 이메일 등의 개인정보가 평문으로 임시 저장된 서버 2대를 발견했다. 통신기록(CDR)이 평문으로 임시 저장된 서버도 1대 있었다. 점검 결과, 2024년 12월에서 지난 4월 사이 방화벽 로그기록이 남아있는 기간엔 자료 유출 정황이 없음을 확인했다. 다만, 악성코드 감염 시점부터 로그 기록이 없는 기간엔 유출 여부 확인이 불가능했다.
과기정통부는 SKT가 유심정보 보호를 위한 주의의무를 다하지 않고 관련 법령을 지키지 않았으므로 이번 침해 사고에 과실이 있다고 판단했다. 안전한 통신 서비스를 제공해야 할 의무를 다하지 못했다는 것이다.
이에 따라 ‘사업자 귀책 사유’에 따른 위약금 면제 규정 적용이 가능하다는 판단이다.
[자료: 연합]
SKT는 HSS 관리서버 계정 정보를 다른 서버에 평문으로 저장하는 등 소홀히 관리했고, 공격자는 이 정보를 활용해 HSS 관리 서버와 HSS를 감염시킨 것으로 나타났다.
2022년 비슷한 악성코드 활동을 감지했지만 신고하지 않았고, 문제 확인도 철저히 하지 않아 이번에 문제가 된 BPF도어 악성코드를 발견하지 못했다. 침해 사실 확인 후 24시간 이내에 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 하는 법령도 지키지 않았다.
2025년 침해 사실이 알려진 후 사고 분석을 위한 정부의 자료 보전 명령을 어기고 포렌식 불가능한 상태로 서버를 제출한 것도 정보통신망법 위반이라고 보았다. 이에 따라 정부는 이달 중 재발방지 대책 이행 계획을 제출하라고 요구했다.
유영상 SKT 대표는 2022년 미신고 건과 관련, “진정으로 잘못했다고 반성을 한다고 말씀드린다”며 “담당자가 법적 신고나 보고에 대한 정보를 몰랐던 것 같다”고 말했다. 팀의 신고에 대한 교육과 대응 매뉴얼을 강화하겠다고 했다.
서버 2대를 임의 조치한 뒤 제출한 건에 대해선 “과기부 명령이 해당 부서에 전해지기 전 초기화를 해 발생한 일”이라며 “명백히 잘못된 부분”이라고 말했다.
유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”며 “SKT는 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다. 또 그는 “다가올 AI 시대엔 사이버위협이 AI와 결합해 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
침해사고 신고를 늦게 하고 감염된 서버 등 자료를 보전하라는 명령을 지키지 않는 점은 위법하다고 보았다.
과학기술정보통신부는 4일 이 같은 내용의 SK텔레콤 침해 사고에 대한 최종 조사 결과를 발표했다.
▲류제명 과학기술정보통신부 제2차관이 4일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서 SK텔레콤 침해사고 최종 조사결과 관련 브리핑을 하고 있다. [자료: 과기정통부]
민관합동조사단이 SKT 전체 서버 42605대를 대상으로 점검한 결과, 총 28대의 서버에서 33종의 악성코드가 발견됐다. 9.82GB 규모의 유심 관련 정보 25종이 유출됐고, 이는 가입자식별번호(IMSI) 기준 2696만건에 해당한다. 지난 5월 2차 발표에 비해 악성코드 5종이 추가 발견됐다.
감염 서버 중엔 단말기식별번호(IME)와 이름, 생년월일, 전화번호, 이메일 등의 개인정보가 평문으로 임시 저장된 서버 2대를 발견했다. 통신기록(CDR)이 평문으로 임시 저장된 서버도 1대 있었다. 점검 결과, 2024년 12월에서 지난 4월 사이 방화벽 로그기록이 남아있는 기간엔 자료 유출 정황이 없음을 확인했다. 다만, 악성코드 감염 시점부터 로그 기록이 없는 기간엔 유출 여부 확인이 불가능했다.
과기정통부는 SKT가 유심정보 보호를 위한 주의의무를 다하지 않고 관련 법령을 지키지 않았으므로 이번 침해 사고에 과실이 있다고 판단했다. 안전한 통신 서비스를 제공해야 할 의무를 다하지 못했다는 것이다.
이에 따라 ‘사업자 귀책 사유’에 따른 위약금 면제 규정 적용이 가능하다는 판단이다.
[자료: 연합]
SKT는 HSS 관리서버 계정 정보를 다른 서버에 평문으로 저장하는 등 소홀히 관리했고, 공격자는 이 정보를 활용해 HSS 관리 서버와 HSS를 감염시킨 것으로 나타났다.
2022년 비슷한 악성코드 활동을 감지했지만 신고하지 않았고, 문제 확인도 철저히 하지 않아 이번에 문제가 된 BPF도어 악성코드를 발견하지 못했다. 침해 사실 확인 후 24시간 이내에 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 하는 법령도 지키지 않았다.
2025년 침해 사실이 알려진 후 사고 분석을 위한 정부의 자료 보전 명령을 어기고 포렌식 불가능한 상태로 서버를 제출한 것도 정보통신망법 위반이라고 보았다. 이에 따라 정부는 이달 중 재발방지 대책 이행 계획을 제출하라고 요구했다.
유영상 SKT 대표는 2022년 미신고 건과 관련, “진정으로 잘못했다고 반성을 한다고 말씀드린다”며 “담당자가 법적 신고나 보고에 대한 정보를 몰랐던 것 같다”고 말했다. 팀의 신고에 대한 교육과 대응 매뉴얼을 강화하겠다고 했다.
서버 2대를 임의 조치한 뒤 제출한 건에 대해선 “과기부 명령이 해당 부서에 전해지기 전 초기화를 해 발생한 일”이라며 “명백히 잘못된 부분”이라고 말했다.
유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”며 “SKT는 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다. 또 그는 “다가올 AI 시대엔 사이버위협이 AI와 결합해 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
