유심정보 유출사태에 ‘귀책사유’가 있다는 조사결과를 받아든 SK텔레콤이 ‘위약금 면제’라는 강수를 뒀지만 시장점유율 하락 외에도 넘어야 할 산이 많다. SKT 사태 전례가 통신업계에 어떻게 작용할지도 관심이다.

과학기술정보통신부를 주축으로 하는 민관합동조사단이 4일 발표한 서버 전수조사 결과에 따르면 SKT는 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체적인 해결책으로 대응하다 문제를 키운 것으로 드러났다.

이날 SKT는 △2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견했지만 로그기록 6개 중 1개만 확인하면서 공격자의 서버 접속 기록을 놓쳐 신고 의무를 어긴 점 △올해 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 있었던 점 △시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않은 점 △지난 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등이 지적됐다.

회사의 과실들이 정부 조사결과에서 드러남에 따라 SKT를 기다리는 행정조치·수사·소송에도 영향이 불가피할 전망이다.

먼저 개인정보보호위원회는 개인정보보호조치 위반으로 확인된 부분에 대해 최대 매출의 3% 수준의 과징금 처분을 할 수 있다. SKT의 지난해 매출 17조원을 기준으로 볼 경우 5000억원대 전망이 나온다.

2022년 신고의무 위반, 올해 4월 늑장신고 부분은 정보통신망법 위반의 과태료 3000만원이 기다린다.

자료보전 의무 위반 문제는 수사로 이어지게 됐다. 류제명 과기정통부 2차관은 4일 브리핑에서 “(사고) 고의성이나 SKT의 범죄적인 측면이 있었는지는 경찰 수사를 통해서 밝혀질 것”이라고 밝혔다.

앞서 서울 남대문경찰서는 SKT 경영진이 해킹 사태에 늑장 대처했다며 시민단체 등으로부터 고발당한 사건과 관련해 고발인 조사 및 참고인 조사를 마친 상황이다.

이와 더불어 해킹사태로 인한 피해를 주장하는 이용자들이 집단분쟁조정과 손해배상소송 등 법적 대응을 준비하고 있다. 수천 명 규모의 집단소송이 예상된다.

한편 서울경찰청이 진행 중인 수사도 해킹범 검거 여부에 따라 SKT에 또 다른 후폭풍을 부를 수 있다. 경찰이 해킹범 검거 및 범행 기록 확보에 성공할 경우 조사단과 회사가 확인하지 못한 ‘2차 피해’가 드러날 수 있기 때문이다.

한 정보보안 전문가는 “아직은 먼 얘기지만 경찰이 해킹범의 PC를 온전히 확보한다면 현재 조사된 내용보다 자세한 유출기록을 파악할 수 있다”며 “업체의 보안에 걸리지 않은 범행들이 나올 가능성도 배제할 수 없다”고 전망했다.

이재걸 기자 claritas@naeil.com