- 이용자 2,600만명 유심정보 유출… 부실한 계정관리·암호화 미흡 등 과실 확인
- 정부 “공급망·보안 거버넌스 전반 재정비 필요… 전담 TF 통해 제도 개선 착수”
과학기술정보통신부는 7월 4일, SK텔레콤 해킹 침해사고에 대한 민관합동조사단의 최종 조사 결과를 발표하고, SK텔레콤의 명백한 과실을 인정함과 동시에 이용약관상 위약금 면제 규정 적용이 가능하다는 판단을 내렸다.
지난 4월 SK텔레콤은 대규모 데이터가 외부로 전송되는 정황을 포착하고 4월 20일 한국인터넷진흥원에 침해사고를 신고했다. 정부는 사건의 심각성을 고려해 4월 23일부터 6월 말까지 민관합동조사단을 구성하고, SK텔레콤 전체 서버 42,605대를 대상으로 전수 조사를 실시했다.
조사 결과, 총 28대의 서버에서 33종의 악성코드가 발견됐으며, 이 중 9.82GB에 이르는 유심정보 25종, 약 2,696만건(IMSI 기준)이 유출된 것으로 확인됐다. 이는 유심복제, 휴대폰 부정 사용, 통신 사기 등의 범죄로 악용될 수 있는 심각한 수준의 개인정보 유출이다.
해킹의 초기 침입 시점은 2021년 8월로 거슬러 올라간다. 공격자는 시스템 관리망에 침투해 평문으로 저장돼 있던 계정정보를 활용, 음성통화 인증서버 등 핵심 인프라에 접근해 악성코드를 심었다. 이후 고객관리망까지 감염 범위를 확장하고, 2025년 4월 18일 외부 연결이 가능한 서버를 통해 유심정보를 본격 유출했다.
조사단은 SK텔레콤의 보안 체계에 여러 구조적 문제가 있었다고 지적했다. 서버 계정정보를 평문으로 저장한 점, 침해사고 대응이 미흡했던 점, 유심 인증키(Ki) 등 주요 정보의 암호화를 하지 않은 점이 대표적이다. 특히 2022년 2월에도 유사한 악성코드 감염 정황이 있었지만 SK텔레콤은 법정 신고 의무를 이행하지 않았고, 일부 로그기록만으로 점검을 마무리해 악성코드 존재를 인지하지 못했다.
또한 SK텔레콤은 공급받은 소프트웨어 점검을 소홀히 하여 악성코드가 포함된 프로그램을 자사 서버 88대에 설치했고, 보안점검 시 웹쉘 탐지 항목이 누락되어 있는 등 기본적인 보안 점검 체계마저 허술한 것으로 드러났다.
정보보호 관리체계 역시 문제가 심각했다. 보안 책임자가 네트워크와 IT 자산을 총괄하지 않고 일부 영역만 담당하며, 정보보호가 최고경영자의 직접적인 관리 체계에 포함되어 있지 않았다. 가입자 대비 정보보호 인력과 예산 또한 타 통신사보다 낮은 수준으로 평가됐다.
조사 결과를 바탕으로 과기정통부는 SK텔레콤이 침해사고에 명백한 과실이 있다고 결론 내렸다. 계정 관리 부실, 암호화 미흡, 법령 위반 등으로 인해 통신서비스 제공 사업자로서의 주요 계약상 의무를 다하지 못했다는 것이다. 이로 인해 유심정보가 유출됐고, 통신서비스의 본질적 신뢰성에 심각한 손상이 발생했다는 점에서, SK텔레콤 이용약관 제43조의 ‘회사의 귀책사유’에 따라 위약금 면제 규정 적용이 가능하다고 판단했다.
정부는 이번 사건을 계기로 민간 정보보호 거버넌스 체계 전반에 대한 개선 필요성을 강조했다. 향후 SK텔레콤의 재발방지 대책 이행 여부를 10월까지 점검하고, 보완 사항이 있을 경우 시정조치를 명령할 계획이다. 아울러, 국회 과학기술정보방송통신위원회 내 전담 TF와 함께 통신망 보호를 위한 법제도 개선과 민간 보안 투자 확대, 정보보호 최고책임자의 권한 강화 방안 등을 마련하겠다고 밝혔다.
유상임 과기정통부 장관은 “이번 사고는 단순한 기술적 해킹을 넘어 통신 인프라의 본질과 신뢰에 대한 근본적 질문을 던진 사건”이라며 “SK텔레콤은 통신 1위 사업자로서 정보보호를 기업 경영의 최우선 순위로 삼아야 한다”고 강조했다.
이어 “다가오는 인공지능 시대에는 사이버 위협이 더욱 정교하고 복합적으로 진화할 것”이라며, “정부는 예방부터 대응까지 보안 체계를 재정비해 국민이 신뢰할 수 있는 디지털 사회 기반을 구축해 나갈 것”이라고 덧붙였다.
