이례적인 조사단 규모···"초기 24명에 추가 70명 투입"조사서 악성코드 33종 확인···IMSI 기준 2696만건 유출류제명 "위약금 면제 대상은 유출 고객 모두"
류제명 과기정통부 제2차관은 4일 정부서울청사에서 진행한 'SK텔레콤 침해사고 최종 조사결과 발표 브리핑'에서 "SK텔레콤이 만약 정부 방침에 반대되는 입장을 표명할 경우, 당국은 전기통신사업법상 절차대로 시정명령을 요구하고, 이대로 진행이 안되면, 행정조치 그리고 관련 법상 조치를 취할 것"이라고 강조했다.
류 차관이 짚은 관련 조항은 전기통신사업법 제92조와 제20조, 총 두가지다. 제92조는 과기정통부 장관 또는 방송통신위원회가 전기통신사업자의 위법행위에 대해 시정명령을 내릴 수 있도록 규정하고 있으며, 제20조는 기간통신사업자의 허가 취소 또는 사업 정지에 관한 내용을 담고 있다.
류 차관은 "SK텔레콤에 오전 중 정부 입장을 전달했기 때문에 내부적으로 검토하고 있을 것"이라며 "다양한 보상 방안과 정부 입장에 대해 검토하고 있는 것으로 안다"고 밝혔다.
이날 브리핑에서는 위약금 면제의 소급 적용 여부와 관련한 질문도 나왔다. 류 차관은 "가정하는 입장으로서 조심스럽지만, 정부가 판단하기로는 4월18일 유출된 2695만건에 해당하는 고객은 모두 (위약금 면제) 대상이 된다고 판단한다"며 "SK텔레콤이 구체적인 범위를 정해 제시할 것"이라고 말을 아꼈다.
과기정통부는 지난 4월 SK텔레콤 해킹 사태 발생 이후 같은 달 23일부터 민관합동조사단을 꾸려 사건 경위에 대한 조사를 진행했다. 사안이 중대한 만큼, 이번 조사단 과정에는 대규모 인력이 투입됐다. 최우혁 과기정통부 정보보호네트워크정책관(국장)은 "과거에는 통상 20인 이내로 구성됐는데, 이번에는 조사단 규모만 24명이었고, SK텔레콤 서버 4만여대를 조사하기 위해 약 70명의 인력이 추가 투입됐다"고 말했다.
이때 위약금 면제와 관련해 회사 이용약관상 '회사의 귀책사유'에 해당하는지 판단하기 위해 다수 로펌에 법률 자문을 구했다.
초기에 자문한 4곳에서는 SK텔레콤의 과실이 인정된다면, 이용자 계약 해지 시 위약금 면제 규정이 적용 가능하다는 공통된 의견을 내놨다.
조사가 마무리된 시점인 지난달 26일, 5개 기관에 추가적인 법률 자문을 구했으며, 대부분 법률 자문기관에서는 SK텔레콤의 과실로 판단했다. 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이라는 이유다.
정부는 SK텔레콤이 계정 정보를 제대로 관리하지 않았으며, 주요 정보에 대한 암호화 조치가 미흡했다고 결론 내렸다.
또 회사가 2022년 2월 23일 한차례 악성코드 감염 정황을 발견한 당시에도 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따른 신고 의무를 이행하지 않았다고 밝혔다. 침해사고 대응 과정에서도 지연 신고했다고 말했다. 두 가지 모두 법령상 3000만원 이하 과태료 부과 대상이다. SK텔레콤이 자료 보존 명령 위반 등 정보통신망법상 준수 의무도 위반했다고 판단했다.
SK텔레콤의 고의성 여부와 관련해 류 차관은 "민관합동조사단 활동 내에서는 범죄성을 밝히기에는 한계가 있고 원래 목적과 부합하지 않는다"며 "다만, 경찰이 파악 중인 것도 있고, 관련해 고소·고발이 이뤄진 만큼, SK텔레콤의 고의성이나 범죄 여부는 경찰 수사를 통해 밝혀질 것"이라고 설명했다.
한편, 조사단은 이번 침해 사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이었다.

뉴스웨이 강준혁 기자
junhuk210@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글