[종합] “해킹 책임 회사에” 정부 철퇴…SKT, 위약금 면제한다

▲유영상 SKT 대표가 4일 오후 서울 중구 을지로 SKT타워 수펙스홀에서 지난 4월 발생한 유심정보 해킹 사고에 대해 고개 숙여 사과하고 있다. 사진=이태민 기자

과학기술정보통신부가 최근 대규모 유심(USIM·가입자식별모듈)정보 해킹 사고로 물의를 빚은 SK텔레콤에 철퇴를 내렸다. 과기정통부는 이번 해킹 사고의 귀책이 SKT에 있다고 보고 위약금 면제·재발방지책 마련 등을 권고했다.

이에 SKT는 사고 책임을 인정하고 가입자 보상안·정보보호 혁신안과 번호이동 가입자에 대한 위약금 면제 계획을 발표했다. 이로 인한 실적 악화는 가입자 신뢰 회복을 위해 감내하겠다는 방침이다.

▲류제명 과학기술정보통신부 제2차관이 4일 오후 정부서울청사에서 SKT의 대규모 유심정보 해킹 사고에 대한 민관합동조사단 최종 조사 결과를 발표하고 있다. 사진=이태민 기자

과학기술정보통신부는 4일 오후 2시 정부서울청사에서 지난 4월 발생한 SKT 유심정보 해킹 사고에 대한 민관합동조사단 최종 조사 결과 발표를 통해 “SKT가 주요 계약 사항인 '안전한 통신서비스 제공' 의무를 위반했다"고 밝혔다. 부실한 계정 정보 보호 체계와 정보통신망법 위반이 크게 작용했다.

이번 사고로 유출된 유심정보 규모는 총 9.82기가바이트(GB)로, 가입자식별번호(IMSI) 기준 약 2696만건이다. 사실상 전 가입자의 유심정보가 빠져나간 셈이다.

합조단이 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석을 진행한 결과, BPF도어 27종을 포함한 악성코드 33종을 확인했다. 2차 조사 결과보다 약 8종의 악성코드가 추가 발견된 것이다.

이 과정에서 해커의 공격이 2021년부터 이뤄졌으며, 2022년 회사 자체 조사로 일부 사실을 확인하고도 당국에 신고하지 않아 사태를 키운 사실도 드러났다. 게다가 서버 2대는 포렌식 분석이 불가능한 상태로 임의 조치한 후 제출했다.

이에 과기정통부는 SKT의 귀책 사유가 명백하다고 판단하고, 사고 이후 다른 통신사로 이동한 가입자의 위약금을 면제해야 한다고 밝혔다.

위약금은 약정 기간 내 계약을 중도 해지할 경우, 제공받은 할인 혜택의 전부 또는 일부를 반환하는 금액이다. SKT 이용약관에 따르면, 회사의 귀책사유로 인해 해지할 경우 위약금 납부 의무가 면제된다고 명시돼 있다.

만일 SKT가 이같은 조치를 이행하지 않으면, 전기통신사업법 등에 의거해 시정명령·등록취소 등 조치를 취할 수 있다고 과기정통부는 강조했다. 위약금 면제 대상 범위는 사고 발생 시점인 4월 18일 24시까지로 설정했다.

류제명 과기정통부 2차관은 브리핑에서 “이번 사고는 계약상 중요한 통신 안정성 조항을 위반한 것으로, 공정한 계약관계를 유지하기 어렵게 만든 신뢰 훼손에 해당한다"며 “유심정보 유출로 인한 가입자 피해 가능성이 매우 컸으며, SKT의 보안 체계는 장기간 구조적으로 취약했다"고 밝혔다.

과기정통부는 재발방지책으로 △서버 접속을 위한 다중 인증 체계 도입 △주요 정보 암호화 △보안 솔루션 및 제로트러스트 도입 확대 등을 제시했다. 이달 중 SKT로부터 이행계획을 제출받은 후, 사측의 이행 여부를 지속 점검할 계획이다.

▲유영상 SKT 대표가 4일 오후 서울 중구 을지로 SKT타워 수펙스홀에서 지난 4월 발생한 유심정보 해킹 사고 관련 브리핑에서 번호이동 가입자의 위약금 면제 조건과 신청 절차 등을 설명하고 있다. 사진=이태민 기자

같은 날 SKT는 △가입자 보상안 △번호이동 위약금 면제 △정보보호 체계 강화 등을 골자로 한 '책임과 약속' 프로그램을 발표했다. 고객 감사 패키지에 5000억원, 정보보호 체계 강화에 7000억원 등 총 1조2000억원을 투입한다.

고객 감사 패키지의 경우 △8월 요금 50% 할인 △매월 데이터 50기가바이트(GB) 추가 제공 △T멤버십 할인 혜택 확대 등을 골자로 한다. 해당 프로그램은 기존 고객뿐 아니라 연말까지 신규 가입 고객도 동일하게 적용받는다.

향후 5년 동안 총 7000억원 규모의 정보보호 투자도 집행한다. 내부 전담인력 육성·외부 인재 영입을 병행해 정보보호 전문 인력을 기존 대비 2배인 150명으로 확대한다.

정보보호 거버넌스도 대폭 개편한다. 정보보호최고책임자(CISO) 조직을 최고경영자(CEO) 직속으로 격상하고, 정보기술(IT)·네트워크 전체를 아우르는 조직으로 확대한다. CISO의 권한도 강화한다. 새 CISO로는 아마존·삼성전자를 거친 정보보안 전문가 이종현 박사를 영입했다. 이사회에도 보안 전문가를 영입해 회사 보안 상태를 평가·개선하는 레드팀(Red Team)을 신설한다.

번호이동 가입자에 대한 위약금도 면제한다. 사고 발생 이후인 4월 19일~6월 30일 사이 이탈한 가입자를 비롯해 이달 14일까지 다른 통신사로 옮기는 가입자를 대상으로 실시한다. 이미 납부한 위약금도 환급 대상에 포함되며, 이달 15일부터 SKT 직영점인 티(T)월드 애플리케이션(앱)과 고객센터, 대리점을 통해 환급 신청이 가능하다. 신청 후 1주일 이내 계좌 입금이 이뤄진다.

단, 단말기 할부금은 단말기 자체를 할부로 구매한 대금으로, 통신 서비스 약정과 별개의 구매 계약이기 때문에 위약금 면제 대상에 해당하지 않는다.

매출 하락은 불가피할 전망이다. SKT는 이날 오후 금융감독원 전자공시시스템(DART)을 통해 정정 공시를 내고 올해 연결기준 매출 목표를 17조8000억원에서 17조원으로 하향 조정했다. 영업익 전망 또한 전년비 개선에서 감소로 전환했다.

유영상 SKT 대표는 “위약금 면제는 회사 입장에선 굉장히 큰 결정이고, 막대한 손실이 예상되는 게 사실이다. 2~3분기 실적에도 영향을 미칠 것으로 본다"면서도 “중장기적으로 보안 강화를 통한 고객 신뢰 회복이 더 중요하다고 생각해 이같은 결정을 내렸다"고 말했다.

이태민 기자 etm@ekn.kr