오늘 민관합동조사단 최종 조사 결과 발표
보안 관리 체계 부실·정보통신망법 위반 등
회사 과실 인정…과태료 부과·후속 조치 예정
▲과학기술정보통신부 전경.
SK텔레콤이 지난 4월 발생한 대규모 유심(USIM·가입자식별모듈)정보 해킹 사고로 이탈한 가입자에 대한 위약금을 면제하게 됐다. 평소 계정 정보 보호 체계가 부실했던 데다 정보통신망법을 위반한 점이 크게 작용했다. 과기정통부는 SKT에 정보통신망법 위반에 대한 과태료를 부과하고, 후속 조치에 나설 예정이다.
과기정통부는 2일 오후 정부서울청사에서 지난 4월 발생한 SKT 유심정보 해킹 사고에 대한 민관합동조사단 최종 조사 결과와 후속 조치를 발표했다.
과기정통부는 △계정정보 관리 체계 부실 △2022년 해커 침입 대응 부실 △주요 정보의 암호화 조치 미흡 등을 들어 SKT의 귀책을 인정했다. SKT 이용약관에 따르면, 회사의 귀책사유로 인해 해지할 경우 위약금 납부 의무가 면제된다고 명시돼 있다.
과기정통부는 SKT의 약관상 면제 규정 적용 여부를 검토하기 위해 5개 기관으로부터 법률 자문을 받았다. 이 중 4개 기관은 이번 사고를 SKT의 과실로 판단, 위약금 면제 규정을 적용할 수 있다는 의견을 제시했다. 유심정보 유출을 안전한 통신서비스 제공 의무를 위반한 것으로 판단한 것이다.
실제 조사단 조사결과에 따르면, 이번 사고와 관련해 SKT에 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등의 문제점이 있었다. 이 과정에서 SKT가 정보통신망법을 위반한 사실도 확인됐다.
사고 발생 당시 SKT는 유심정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나, 유심보호서비스에는 약 5만명만 가입한 상태였다. FDS 1.0은 유심 복제 가능성을 차단하는데는 한계가 있었던 상황이었다.
과기정통부는 이에 따라 SKT가 안전한 통신서비스 제공을 위한 사업자의 주의의무를 다하지 못한 데다, 관련 법령이 정한 기준을 미준수하였으므로, 과기정통부는 이번 침해사고에서 SK텔레콤의 과실이 있는 것으로 판단했다.
조사단 조사 결과, SKT 통신망 서버(컴퓨터)에서 BPF도어 27종·타이니쉘 3종·웹셸 1종 등 총 33종이 발견됐다. 2차 조사 결과보다 BPF도어 계열 3종·오픈소스 악성코드 2종 등 8종의 악성코드가 추가 확인된 것이다.
앞서 조사단은 이번 해킹으로 유출된 데이터는 약 9.82기가바이트(GB) 규모로, 가입자식별번호(IMSI) 기준 2695만7749건에 달한다고 밝힌 바 있다. 사실상 전 가입자의 유심정보가 빠져나간 셈이다.
특히 악성코드 감염 서버 중엔 개인정보를 비롯해 단말기식별번호(IMEI), 통화세부기록(CDR)이 저장된 서버 2대도 포함됐다. 이들 서버의 방화벽 로그기록을 분석한 결과, 로그기록이 남아 있는 지난해 12월부터 올해 4월까지 자료 유출 정황은 없는 것으로 확인됐다.
로그기록은 해커의 서버 침투 여부를 확인할 수 있는 기록이다. 다만, 2022년 6월부터 2024년 12월까지의 기록은 없어 사실상 2024년 12월 이전의 자료 유출 여부는 검증이 어려운 상황이다. SKT는 자체 보안 규정에 따라 로그기록을 6개월 이상 보관해야 하나, 실제로는 방화벽 로그 기록을 4개월간만 보관 중이었다.
SKT가 시스템 관리망 내 서버의 계정 패스워드(암호)를 장기간 변경하지 않은 사실도 확인됐다. ISMS 인증기준에 따르면, 파일, 모바일 기기 등에 비밀번호 기록∙저장을 제한하고, 부득이하게 기록∙저장해야 하는 경우 암호화 등의 보호대책을 적용해야 한다고 명시돼 있다. KT·LG유플러스 등 타 통신사 또한 이를 암호화해 저장하고 있다.
과기정통부는 해커의 침해 사실에 대한 회사 대응이 미흡했다고도 지적했다. SKT는 2022년 2월 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나, 이같은 사실을 과기정통부 및 KISA에 신고하지 않았다.
당시 점검 과정에서 HSS 관리서버에 대한 비정상 로그인 시도 정황도 포착했으나, 해당 서버에 대한 로그기록 6개 중 1개만 확인해 서버 접속 기록을 확인하지 못한 것으로 알려졌다.
이외에도 과기정통부는 SKT가 침해사고 대응과정에서 △침해사고 신고 지연 및 미신고 △자료보전 명령 위반 등 망법상 준수 의무 2가지를 위반했다고 판단했다.
SKT는 지난 4월 18일 오후 11시 20분 해킹 공격을 내부에서 인지하고도 40시간이 넘은 4월 20일 오후 4시 46분에서야 KISA에 신고했다. 가입자들에게는 4월 22일 홈페이지 공지를 통해 해킹 사실을 알렸다.
이후 과기정통부는 지난 4월 21일 정보통신망법 제48조의4에 따라 SKT에 사고 원인 분석을 위해 자료 보전을 명령했으나, SKT는 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다.
연 1회 이상 실시되는 서버 보안점검 항목에 웹셸을 포함하지 않았다는 점에서 SKT의 보안 관리 체계가 부실하다고 과기정통부는 판단했다. 아울러 전화번호의 마스킹 규칙이 담긴 정보를 CDR이 임시 저장된 서버에 저장한 사실도 밝혀졌다.
협력업체로부터 공급받은 소프트웨어(SW)를 면밀히 점검하지 않고 내부 서버 88대에 설치해 해당 SW에 탑재돼 있었던 악성코드가 유입된 것으로 조사단은 분석했다.
이에 과기정통부는 재발방지책으로 △서버 접속을 위한 다중 인증 체계 도입 △주요 정보 암호화 △보안 솔루션 및 제로트러스트 도입 확대 등을 권고했다. 과기정통부는 SKT에 이달 중 재발방지책에 따른 이행계획을 제출토록 한 후, 사측의 이행 여부를 지속 점검할 계획이다.
;){kind=link}