SK텔레콤의 대규모 고객 정보 유출 사고가 해커의 공격이 2021년부터 시작되었음에도 불구하고 회사 측의 미흡한 대응으로 피해를 키웠다는 정부 조사 결과가 나왔다. 과학기술정보통신부가 구성한 민관합동조사단은 4일 이러한 내용을 담은 최종 조사 보고서를 발표하며 SK텔레콤의 보안 시스템 전반에 걸친 문제점을 지적했다.

이번 조사는 SK텔레콤이 보유한 4만2605대의 전체 서버를 대상으로 진행됐으며, 그 결과 28대의 서버가 악성코드에 감염되었고 총 33종의 악성코드가 발견된 것으로 확인됐다. 특히 유출된 유심 정보는 2696만 건에 달하는 것으로 파악돼 심각성을 더했다.

■ 해커 침투 시점 10개월 앞당겨져…부실한 초기 대응 도마 위

조사단에 따르면 해커가 SK텔레콤 내부 서버에 악성코드를 최초로 심은 시점은 2021년 8월 6일로, 이는 당초 중간 조사 결과 발표보다 10개월이나 이른 시점이다. 해커는 외부 인터넷과 연결된 회사 시스템 관리망 서버에 접속해 악성코드를 심은 뒤, 이를 통해 유심 정보가 보관된 코어 서버에 접속하여 대량의 정보를 빼낸 것으로 조사됐다.

통화 상대나 시점 등이 담긴 통신 기록(CDR) 및 복제폰에 악용될 수 있는 단말기 고유식별 번호(IMEI) 유출은 로그 기록이 남아 있는 기간(2024년 12월~2025년 4월)에는 없었던 것으로 드러났다. 그러나 악성코드 감염 시점부터 2024년 12월까지는 로그 기록이 남아있지 않아 해당 기간의 민감 정보 유출 여부는 확인이 불가능하다는 점이 문제점으로 지적됐다.

■ 계정 관리 부실과 늑장 보고가 피해 키워

조사단은 이번 사고의 주요 원인으로 SK텔레콤의 계정 정보 관리 부실, 침해 사고 대응 미흡, 그리고 주요 정보 암호화 조치 미흡 등을 꼽았다. 특히 조사단은 “SK텔레콤은 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체 해결책으로 대응하다 문제를 키웠다”고 강하게 비판했다. 또한, 시스템 관리망 내 서버 계정의 비밀번호 만료일이 설정되어 있지 않고 비밀번호를 변경하지 않아 해커 공격의 빌미를 제공한 것으로 나타났다.

과기정통부는 SK텔레콤에 재발 방지를 위해 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보 보호를 위한 인력 및 예산 확대를 지시했으며, 올해 말까지 이행 여부를 철저히 확인할 방침이다.

■ SK텔레콤, 위약금 면제 및 요금 할인 등 고객 보상책 발표

한편, 이번 유심 해킹 사고 수습에 나선 SK텔레콤은 이달 14일까지 해지 예정인 고객을 대상으로 위약금을 전면 면제하기로 했다. 이어서 15일 이후 잔류하는 고객들에게는 8월 통신요금을 반값으로 할인하고 연말까지 매달 50GB의 데이터를 무료로 제공한다는 방침을 내놓았다.

유영상 SK텔레콤 최고경영책임자(CEO)는 4일 긴급 이사회 등을 거쳐 마련된 기자간담회에서 고객 신뢰 회복을 위한 ‘책임과 약속’ 프로그램을 발표하며, “사고가 발생한 지난 4월 18일 이전 통신 약정에 가입한 고객을 대상으로 위약금을 면제하겠다”고 밝혔다. 사고 이후 위약금을 납부하고 해지한 고객에게도 소급 적용된다. 유 CEO는 “이번에 결정한 위약금 면제는 기납부한 위약금을 신청하면 환급하는 형태로 진행될 예정”이라고 덧붙였다. 단말기 할부금은 통신 서비스 약정과 별개의 구매 계약이므로 위약금 면제 대상에는 해당하지 않는다는 점을 명확히 했다.

이번 사건은 기업의 정보 보안 관리의 중요성을 다시 한번 상기시키며, 신속하고 투명한 위기 대응의 필요성을 보여줬다. 기업들은 유사 사고를 방지하기 위해 정보 보안 시스템을 전면 재점검하고, 소비자 보호를 위한 선제적인 노력을 기울여야 할 때다.