 |
| 류제명 과학기술정보통신부 2차관이 4일 정부서울청사에서 SK텔레콤 해킹 사태 관련 최종 조사결과를 발표하고 있다. (사진=연합뉴스) |
[알파경제=이준현 기자] 과학기술정보통신부가 SK텔레콤 해킹사고를 위약금 면제 사유에 해당하는 회사 귀책사유로 최종 판단했다.
과기정통부는 4일 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단의 최종 조사 결과를 발표하며 "침해사고에서 SK텔레콤의 과실이 발견된 점과 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점을 고려할 때 회사 약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다"고 밝혔다.
이번 판단은 조사단 조사 결과를 바탕으로 한 법률 자문 결과를 종합해 내린 것이다. <2025년 7월 4일자 李 대통령, SKT 해킹 피해 위약금 면제 검토 지시…”국민 이익 최대한 반영해야” 참고기사>
정부는 법률 자문기관 5곳에 검토를 의뢰한 결과 4곳이 SK텔레콤 과실로 판단했다고 설명했다.
이들 기관은 유심정보 유출이 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 나머지 1곳은 현재 자료로 판단이 어렵다며 판단을 유보했다.
과기정통부는 "정보 유출 당시 SK텔레콤이 유심정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나, 유심 복제 가능성을 차단하는 데 한계가 있어 안전한 통신서비스를 제공할 의무를 다하지 못했다"고 판단했다.
SK텔레콤 이용약관 제43조는 "회사의 귀책사유로 인해 해지할 경우 위약금 납부 의무가 면제된다"고 명시하고 있다.
정부는 이번 판단이 "SK텔레콤 약관과 이번 침해사고에 한정되며 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아니다"라고 선을 그었다.
민관합동조사단은 SK텔레콤 전체 서버 4만2605대를 점검한 결과 28대가 악성코드에 감염됐고, 확인된 악성코드는 33종이었다고 발표했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며, 유출 규모는 9.82GB(기가바이트), IMSI 기준 약 2696만건이다.
조사단은 감염서버 중 단말기식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 암호화하지 않은 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다. 정밀 분석 결과 로그기록이 남아있는 기간에는 자료 유출 정황이 없는 것을 확인했다.
조사단은 SK텔레콤의 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡을 사고 원인으로 파악했다. SK텔레콤은 2022년 2월 악성코드에 감염된 서버를 발견했지만 정보통신망법에 따른 신고 의무는 이행하지 않았다.
정부는 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호 거버넌스 강화, 정보보호 인력·예산 확대 등을 재발방지 대책으로 제시했다.
앞서 SK텔레콤은 위약금 면제 시 최대 500만명이 이탈할 수 있고 3년간 7조원 이상의 손실이 발생할 수 있다고 추산한 바 있다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
