"유심 해킹 SKT, 위약금 면제' 해야...회사 귀책 사유"
||2025.07.04
[디지털투데이 이진호 기자] 해킹 사고를 겪은 SK텔레콤이 번호이동 위약금을 면제해야 한다는 정부 판단이 나왔다. 기본적인 정보보호 노력이 미흡해 유심정보가 유출되는 등 안전한 통신서비스 제공 의무를 다하지 못해 회사 귀책사유가 있다는 것.
과학기술정보통신부는 SKT 침해사고 민관합동조사단 조사 결과 및 SKT 위약금 면제 규정에 대한 검토결과를 4일 발표했다. SKT 전체 서버 4만2605대를 점검하고 법무법인에 의뢰한 위약금 면제 관련 검토 내용을 담은 결과다.
◆악성코드 33종 확인…유심 정보 25종 유출
조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과 BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이다. 유출 규모는 9.82GB, IMSI 기준 약 2696만건이다.
감염서버 중 단말기식별번호(IMEI), 개인정보(이름·생년월일·전화번호·이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대가 발견됐다. 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것이 확인됐다. 단 악성코드 감염 시점부터 로그기록이 없는 기간에는 유출 여부를 확인하지 못했다.
![SKT 침해사고 원인 분석 도식도. [자료: 과기정통부]](https://www.digitaltoday.co.kr/news/photo/202507/574896_538059_2324.jpg)
조사단에 따르면 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월6일 설치했다. 당시 서버A에는 시스템 관리망 내 서버 계정 정보가 평문으로 저장돼 있었다.
조사단은 공격자가 이 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정했다. 당시 서버 B에는 코어망 내 음성통화인증(HSS) 관리서버 계정정보가 평문으로 저장돼 있었다. 공격자는 이 계정정보를 통해 2021년 12월 24일 HSS 관리서버에 접속한 뒤 HSS 관리서버 및 HSS에 BPFDoor를 설치했다.
공격자는 추가 거점 확보를 위해 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정된다. 접속 후 2022년 6월15일과 22일 웹쉘과 BPFDoor 악성코드를 설치했다. 초기 침투과정에서 얻은 계정 정보를 활용해 시스템 관리망 내 여러 서버에 악성코드를 추가 설치했다.
이후 공격자는 지난 4월18일 HSS 3개 서버에 저장된 유심정보(9.82GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.
◆정보보호 활동 미흡…"위약금 면제 귀책사유 해당"
과기정통부는 "이번 침해사고에서 SKT 과실이 발견된 점 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 위약금을 면제해야 하는 회사 귀책사유에 해당한다고 판단했다"고 밝혔다.
SKT 이용약관은 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정한다. 앞서 과기정통부가 법리 검토를 맡긴 5개 법률 자문기관 중 4곳이 이번 사고를 SKT 과실로 판단했다. 나머지 한 곳은 현재 자료로 판단이 어렵다고 판단을 유보했다.
실제 SKT에서는 미흡한 정보보호 보호 조치가 대거 확인됐다. SKT는 2022년 2월23일 특정 서버에서 일어난 비정상 재부팅을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했지만 정보통신망법에 따른 신고 의무를 이행하지 않았다. 이번 사고에서도 감염이 확인된 HSS 관리서버 의 비정상 로그인 시도 정황도 점검했지만 로그 6개 중 1개만 확인해 접속 기록을 확인하지 못했다.
SKT는 유심 인증키(Ki) 값도 암호화 없이 저장했다. KT와 LG유플러스는 해당 키값을 암호화해 저장하고 있다. 또한 SKT는 정보통신망법에 따라 사고 인지 24시간 이내 신고해야 하는 의무를 위반했다. 기정통부가 자료 보전을 명령했음에도 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치후 제출한 점도 확인됐다.
![서울 시내 한 SKT 매장에 붙은 유심정보 유출 사태 관련 안내문. [사진: 연합뉴스]](https://www.digitaltoday.co.kr/news/photo/202507/574896_538060_2811.jpg)
정보보호 활동과 거버넌스 체계 또한 미흡했다. SKT는 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하지만 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 발견하지 못했다. 또 전화번호 마스킹 규칙이 담긴 정보를 CDR이 임시 저장된 서버에 저장하는 등 마스킹 정보 보안관리가 미흡했다.
공급망 보안도 소홀했다. 협력업체로부터 받은 SW를 면밀히 점검하지 않고 내부 서버 88대에 설치하며 해당 SW에 탑재된 악성코드가 유입됐다. 현행 정보통신망법은 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 한다. 하지만 SKT는 보안 업무를 IT영역(자산의 57%)과 네트워크 영역(자산의 43%)으로 구분하고 CISO는 IT 영역만 담당하고 있었다.
SKT는 자체 규정으로 로그기록을 6개월 이상 보관하도록 정했지만 실제로는 방화벽 로그를 4개월간만 보관 중이었다. 과기정통부는 이에 대해 "조사단이 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"고 지적했다.
또 조사단은 SK가 전체 자산 종류, 규모, 유휴·폐기 여부 등을 체계적으로 관리하지 않은 것도 확인했다. 정보보호 인력과 투자액이 부족했다. 2024년 정보보호 공시 기준 SKT 가입자 100만명당 정보보호 인력은 15명으로 2위 사업자 KT(25.1명)에 비해 적은 것으로 나타났다. 가입자 100만명당 정보보호 투자액은 37.9억원으로 이통 3사 평균(57.4억)에 미치지 못했다.
정보 유출 대책이 미흡했던 것도 위약금 면제 판단에 영향을 미쳤다. 정보 유출 당시 SKT는 부정사용방지시스템(FDS 1.0)과 유심보호서비스를 운영 중이었지만 유심보호서비스에는 약 5만명만 가입한 상태였다. FDS 1.0은 모든 유심복제 가능성을 차단하는데 한계가 있었다. 이에 과기정통부는 SKT가 안전한 통신서비스를 제공할 의무를 다하지 못한 것으로 판단했다.
단 과기정통부는 SKT에 대한 위약금 면제 판단은 SKT 약관과 이번 침해사고에 한정된다고 강조했다. 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적 해석이 아니라는 설명이다.
과기정통부는 이달 중 SKT에 재발방지 대책 이행계획을 제출토록 하고 12월까지 이행 여부를 점검한다. 보완이 필요한 사항이 발생하면 정보통신망법에 따라 시정조치를 명령할 계획이다.
과기정통부는 이와 별개로 국회와 논의해 통신망 보호 법제도 방안, 민간 정보보호 투자 확대 및 정보보호 거버넌스 강화 방안 등을 마련할 계획이다.
유상임 과기정통부 장관은 "이번 SKT 침해사고는 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"며 "SKT는 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것"이라고 강조했다.
