SKT, 해킹 인지 24시간 내 신고 규정 위반···"고의는 아냐"

SK텔레콤이 해킹 사고 인지 후 24시간 내 신고하지 않으면서 정보통신망법을 어긴 것으로 확인됐다.

24일 최수진 국회 과학기술정보방송통신위원회 소속 국민의힘 의원이 SKT로부터 제출받은 자료에 따르면 SKT가 사내 시스템 이상징후를 발견한 시점은 지난 18일 오후 6시 9분이다.

SKT는 같은 날 오후 11시 20분 악성코드를 발견하고 해킹 공격을 받았다는 사실을 파악했다. 이어 다음날 19일 오전 1시 40분 어떤 데이터가 빠져나갔는지 분석을 시작했다.

분석이 시작된 22시간이 지난 뒤인 19일 오후 11시 40분께 해커에 의한 악성코드로 이용자 유심과 일부 정보가 빠져나간 사실을 확인했다.

정보통신망법에 따라 SKT는 해킹 사고 인지한 시점부터 24시간 이내에 피해 규모, 원인, 대응 현황 등을 과학기술정보통신부 장관 또는 한국인터넷진흥원(KISA)에 최초로 신고해야 한다. 이를 이행하지 않을 경우 3000만원 이하의 과태료가 부과된다.

SKT는 19일 오후 11시 20분까지 신고해야 했지만 실제로 신고한 시점은 약 17시간이 지난 뒤인 20일 오후 4시 46분이었다. 문제를 최초로 인지한 후 약 46시간이 지났고 해킹 공격을 인지한 시점으로부터도 40시간을 넘긴 뒤 신고했다.

KISA도 최 의원실에 SKT가 24시간 내 해킹 공격을 보고해야 하는 규정을 위반했다고 밝혔다.

SKT 관계자는 "사안의 중대성을 고려해 침해사고 신고에 필요한 발생원인과 피해 내용을 철저히 파악하는 과정에서 신고가 늦어진 것"이라며 "고의적인 지연 의도는 없었다"고 말했다.