정부가 SK텔레콤 가입자식별칩(유심)정보 유출사고에 대해 SKT측 과실로 판단했다. 이에 따라 위약금 면제 규정에 해당한다고 발표했다.

과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다.

조사결과 해커 공격은 2021년부터 이뤄졌으며 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않으면서 사태를 키운 사실이 드러났다.

해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다.

해커 공격이 쉽게 이뤄진 것은 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있었기 때문으로 밝혀졌다.

핵심 서버들에 접근할 수 있는 정보를 쉽게 얻은 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다.

해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다.

해커는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다.

협력업체를 통해 소프트웨어(SW)를 제공받는 공급망 측면에서도 문제가 있었던 것으로 나타났다.

조사단에 따르면 SK텔레콤 협력업체가 개발한 SW가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 악성코드가 유입된 것으로 드러났다.

조사단은 “이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다”고 밝혔다.

이런 가운데 SK텔레콤은 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체적인 해결책으로 대응하다 문제를 키운 것으로 조사됐다.

조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견, 조치했지만 신고 의무를 지키지 않아 3000만원 이하 과태료 부과 대상이라고 밝혔다.

한편 과학기술정보통신부는 침해사고 민관합동조사단 조사 결과를 공개하며 이번 사고 책임은 SK텔레콤에 있고 계약상 중요한 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다고 발표했다.

SK텔레콤 이용약관 제43조는 ‘회사의 귀책 사유’로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다.

과기정통부는 SK텔레콤에 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 같은 문제가 있었고 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실도 확인됐다고 지적했다.

또한 통신 사업자에게는 안전한 통신 서비스를 제공할 법적 의무가 있으며, 국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약 시 중요한 요소라고 덧붙였다.

과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 7월 중 제출토록 하고, 이행여부를 점검해 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.