■ 민관합동조사단 일문일답 내용
▲류제명 과학기술정보통신부 제2차관이 4일 오후 정부서울청사에서 SKT의 대규모 유심정보 해킹 사고에 대한 민관합동조사단 최종 조사 결과를 발표하고 있다. 사진=이태민 기자
지난 4월 발생한 SK텔레콤 대규모 해킹 사고로 10기가바이트(GB)에 달하는 유심(USIM·가입자식별모듈)정보가 유출된 것으로 확인됐다.
과학기술정보통신부는 SKT가 안전한 통신 서비스 제공 의무를 다하지 못한 것으로 보고 위약금 면제 및 재발방지책 마련을 지시했다. 이에 따라 SKT는 가입자 추가 이탈 및 보상안 마련 등 막대한 손실이 불가피해졌다.
과기정통부는 4일 오후 서울정부청사에서 SKT 유심정보 해킹 사고에 대한 민관합동조사단 최종 조사 결과와 후속 조치를 발표했다. 과기정통부는 △계정정보 관리 체계 부실 △2022년 해커 침입 대응 부실 △주요 정보의 암호화 조치 미흡 등을 들어 SKT의 귀책을 인정했다.
이 과정에서 SKT를 향한 해커의 공격이 지난 2021년부터 이뤄졌으며, 2022년 회사 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 사태를 키운 사실도 드러났다.
과기정통부는 SKT가 위약금 면제 조치에 반대할 경우, 전기통신사업법 등에 의거해 시정명령·등록취소 등 조치를 취할 수 있다고 강조했다.
다음은 류제명 과기정통부 제2차관, 최우혁 과기정통부 정보보호네트워크정책관, 이동근 한국인터넷진흥원(KISA) 조사본부장과의 일문일답.
정통부 2차관 “SKT 정부 방침 반대하면 등록취소 등 법적절차 진행"
▲국회 보고 일정이 미뤄진 이유는? 전날(3일) 이재명 대통령이 위약금 면제를 시사한 것과 연관이 있는가.
-(류제명 과기정통부 제2차관) 조사 방식이 전례 없이 강도가 높았고, 광범위한 조사 과정을 반복하는 과정에서 시간이 당초 예상보다 지체됐다. 실질적 사고 조사는 6월 27일 완료됐고, 위약금 관련 법률 검토 결과는 7월 2일 받았다. 30일 모든 과정을 마치고 결과 발표를 같이 할 수 있도록 하기 위해 노력했지만, 물리적인 어려움이 있는 만큼 국회 보고일과 같은 날 공식 발표를 할 수 있도록 양해해 달라고 태스크포스(TF)와 논의를 거쳤다. 오늘 오전 SKT에 정부 입장을 전달했고, 현재 내부적으로 보상안 등을 검토하고 있다고 들었다.
▲SKT가 정부 조치에 응하지 않을 경우 추가적인 행정지도가 이뤄질 예정인지.
-(류 2차관) 만일 SKT가 정부 방침에 반대되는 입장을 표명한다면, 정부는 전기통신사업법 92조 1항 '시정 명령'과 동법 20조 '등록 취소' 조항에 의거해 시정명령을 비롯한 법적 절차를 진행할 것이다.
▲귀책 사유 판단 전 시점인 2분기(4~6월) 해지한 가입자들도 위약금을 면제받을 수 있나.
-(류 2차관) 정부는 4월 18일 기준 유출된 규모(2695만건)를 토대로 이용자의 피해 가능성을 살펴봤다. 따라서 해킹 사고 발생 시점에 가입해 있던 고객들이 모두 (위약금 면제 범위에) 해당된다고 보며, 사고 발생 이후 번호이동한 가입자들에게 당연히 위약금 환불 조치가 이뤄져야 한다고 판단한다.
▲법률 자문 내용에 위약금 면제 찬반만 담겼나, 규모·범위 등 구체적인 내용까지 담겼나.
-(류 제2차관) 위약금 면제가 가능한가, 불가능한가에 대한 판단이 주를 이뤘다. 면제 규모나 범위 등에 대해선 세부적으로 판단하지 않았다. 하지만, 공통적으로 계약 당사자 간 채무 이행 관련 기본 다툼은 민법에 의해 당사자 간 해결해야 할 사안이라는 의견을 제시했다. 과기정통부는 주무당국으로서 전사법·정보통신망법과 같은 법령과 규정에 따른 권한에 일정 부분 역할이 있다는 점에서 이번 판단을 내렸다.
▲SKT가 2022년 2월 침해 사고 사실을 파악하고도 신고 없이 자체 조치했고, 감염 서버의 로그 기록 6개 중 1개만 확인했다고 인정한 것인가.
-(이동근 KISA 조사본부장) 당시 SKT에선 비정상적 재부팅 발생 현상에 대해 조사를 시작했고, 악성 코드 감염 사실을 파악해 서버 점검을 진행했다. 그 과정에서 악성코드를 2개 찾았고, 자체적으로 조치를 한 흔적을 포렌식 조사 결과 확인했다. 다른 통신사의 경우 SKT에 준하는 조사를 통해 보안 체계에 문제가 없음을 확인했고, 플랫폼사의 경우는 4개사 대상으로 (조사를) 진행 중이다.
“유심 복제 따른 2차 피해 우려 없어…당국 부정접속 움직임 감시"
▲신고 의무 위반 규정만 검토돼 있는데, 후속 조치 사항에 대한 검토는 없나.
-(최우혁 과기정통부 정보보호네트워크정책관) 과태료만 부과하는 것인지, 수사 의뢰만 하는 것인지는 법적 위반 사항이 명확할 때 조치할 수 있다. 단순 관리 측면에서 발생한 문제의 경우, 정부는 재발방지책의 형태로 문제를 제기할 수밖에 없다. 만약 이에 대한 적절한 조치가 없다면 시정명령과 같은 조치를 진행할 것이다.
▲로그 기록이 없는 기간(2022년 4월~2024년 12월) 동안 정보가 유출됐을 수 있다는 불안감이 남아 있다. 이 부분에 대한 추가 설명을 부탁드린다.
-(류 2차관) 로그 기록이 없는 기간이 있다는 점에서 SKT도 유심보호서비스와 부정사용방지시스템(FDS) 2.0 고도화 작업을 서둘렀던 것으로 알고 있다. 5월 18일 FDS 업그레이드가 완료됐고, 익일인 19일 2차 조사 결과를 발표했는데 개인정보 유출 시도나 피해 사례는 없었다. 단말기 제조사 등을 통해 확인한 바에 따르면, 단말기 식별정보(IMEI)가 유출됐더라도 제조사가 갖고 있는 인증 값을 동시에 탈취하지 않으면 단말기 복제는 불가능하다는 답변을 받았다. SKT 자체적으로도 복제폰을 통한 네트워크 접속 차단 조치를 이어가고 있는 만큼 국민들이 유심 복제로 인한 2차 피해에 대한 우려를 덜어내도 되지 않을까 생각한다. 외부 국가에서 부정 접속 시도가 있는지 당국에서도 면밀히 주시해 국민 피해가 발생하지 않도록 하겠다.
▲향후 타 통신사에서도 유사 사고가 발생할 경우, 가입자 보호 의무를 충실했다고 판단되면 위약금 면제 요건에 해당하지 않는 것인가.
-(류 2차관) 아까 언급했듯 계약 당사자 간 채무 불이행으로 인해 회사에 대한 신뢰가 계약을 파기할 정도로 훼손했는지에 대한 판단이라 개별적 성격이 강하다. 이번 경우에도 유심정보가 과연 가입자가 안전하게 보호되는 상황에서 벌어졌는지, 다른 보호 조치가 없는 상황에서 벌어졌는지 등에 대한 쟁점이 있다. 이런 부분에 대한 특수한 상황 해석이 필요하다는 게 법률 자문의 핵심이고, 우리도 그렇게 판단하고 있다.
“SKT, 정부방침 수용한다면 (위약금 면제 등) 기준·절차 제시할 것"
▲SKT가 과기정통부 조치 이행을 거부할 시 기간통신사업자 취소 가능성도 시사했는데, 위약금 면제 약관을 지키지 않아 등록 취소가 가능하다고 판단하는가.
-(류 2차관) 기본적으로 시정 명령은 전기통신사업자의 업무 처리 절차가 이용자의 이익을 현저히 해친다고 인정되는 경우에 가능하게 돼 있다. 시정명령을 이행하지 않을 경우 추가 조치들이 이뤄진다. 전사법 28조 1항에 따르면 이용 약관을 지키지 않은 경우에 대한 내용들이 명시돼 있기 때문에, 정부가 이에 따라 시정명령을 했음에도 사업자가 수용하지 않는다면 이같이 조치를 취할 수 있음을 언급한 것이다.
▲무선 가입자 외 인터넷·TV 결합 할인을 받는 경우 이에 대한 위약금도 발생한다. SKT가 위약금 면제가 아닌 감면을 하거나, 가입 조건에 따라 면제 기준을 차등 적용한다면 약관 위반인가.
-(류 2차관) 계약 당사자(가입자)와 사업자 간 계약이 굉장히 개별적이다. 위약금에 따른 여러 사항들에 있어 정부 차원에서 구체적인 환경·조건을 일률적으로 판단해 정리하기는 어려울 듯하다. SKT가 정부 입장을 수용하는 쪽으로 발표한다면, 소비자들이 혼란을 겪지 않도록 구체적인 기준·절차 등을 제시할 것으로 생각한다.
▲향후 국회와 제도 개선·정보보호 강화 방안을 논의할 계획이 있는가.
-(류 2차관) 그동안 총 5차례의 TF 회의를 통해 현행법 개정이나 제정이 필요한지부터 정부가 운영해 왔던 정보보호 관리 체계, 주요 정보통신 기반 시설 보호 관련 여러 조치들 중 보완점이 없는지 점검했다. 이를 토대로 우리 기업들에 권고할 보안 거버넌스나 모범 사례 등을 어떻게 발굴·확산할지 국회 TF와 논의해 왔다. 조만간 이에 대한 구체적 방안을 발표할 수 있을 것으로 보인다.
;){kind=link}