과기정통부 “해킹사고 SKT 귀책…위약금 면제해야”

“SKT, 유심정보 보호 의무∙사업자 의무 다하지 못해”
유심 접근용 비밀번호 데이터 암호화 안 된 채 노출
위약금 면제 실행할 경우 총 보상액은 최대 조단위

4일 오후 과학기술정보통신부가 구성한 민관합동조사단은 이날 정부서울청사에서 SKT 침해사고 민관합동조사단 조사결과 발표 브리핑을 통해 “SKT는 유심 보호를 위한 주의 의무를 다하지 않아 이번 침해사고에 과실이 있고 이용자에게 안전한 통신 서비스를 제공해야 할 사업자 의무를 다하지 못한 것으로 판단한다”며 “위약금 면제 규정이 적용 가능하다고 판단한다”고 밝혔다. / 사진=e브리핑 캡처

[한국금융신문 정채윤 기자] SK텔레콤(대표 유영상

유영상기사 모아보기, 이하 SKT) 해킹 사태를 조사한 과학기술정보통신부 민관합동조사단이 이번 대규모 유심 해킹 사고 귀책 사유가 SKT에 있으므로 이용약관에 따라 위약금을 면제해야 한다고 판단했다. 이로써 SKT 유심 해킹 사고 이후 타 통신사로 번호이동을 했거나 앞으로 이동하는 가입자들의 위약금 부담은 사라지게 될 전망이다.

4일 오후 과학기술정보통신부가 구성한 민관합동조사단은 이날 정부서울청사에서 SKT 침해사고 민관합동조사단 조사결과 발표 브리핑을 통해 “SKT는 유심 보호를 위한 주의 의무를 다하지 않아 이번 침해사고에 과실이 있고 이용자에게 안전한 통신 서비스를 제공해야 할 사업자 의무를 다하지 못한 것으로 판단한다”며 “위약금 면제 규정이 적용 가능하다고 판단한다”고 밝혔다.

앞서 SKT는 지난 4월 18일 23시 20분 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고, 4월 20일 16시 46분 한국인터넷진흥원에 침해사고를 신고했다.

과기정통부는 SKT 유심정보 유출을 중대한 침해사고로 판단하고 4월 23일 민관합동조사단을 구성해 피해현황, 사고원인 등을 조사했다.

과기정통부는 4만2605대에 달하는 서버를 전수 조사한 결과 총 28대의 서버가 감염됐고 총 33종의 악성코드를 확인했다. 유출된 유심 정보는 총 25종이다. 정보 유출 규모는 9.82 기가바이트(GB)에 달한다. 가입자식별번호(IMSI) 기준 2696만건에 해당한다.

해킹 공격은 2018년 8월 6일부터 약 3년에 걸쳐 이뤄졌다. 공격자는 초기 침투 과정에서 확보한 계정 정보를 활용해 시스템 관리망 내 서버를 돌아다니며 악성코드를 설치했다. 특히 이 서버에는 다른 서버들로 접근할 수 있는 계정과 비밀번호가 담겨 있었다. 비밀번호는 암호화하지 않은 평문으로 저장돼 있었기 때문에 해커가 쉽게 탈취할 수 있었다.

과기정통부는 SKT가 침해사고 대응 과정에서 ▲침해사고 신고 지연 및 미신고 ▲자료보전 명령 위반 등 망법상 준수 의무 등 2가지를 위반했다고 지적했다. 과기정통부는 SKT의 지연 신고에 대해서는 정보통신망법상 과태료 부과, 자료보전 명령 위반에 대해서는 수사기관에 수사를 의뢰할 방침이라고 전했다.

과기정통부는 SKT가 유심정보 보호를 위한 주의의무를 다하지 않았고 관련 법령을 미준수해 이번 사고에 과실이 있는 것으로 판단했다. SKT가 유심정보를 보호해 이용자에게 안전한 통신서비스를 제공해야 할 사업자의 주된 의무를 다하지 못했다고 봤다.

과기정통부는 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등을 이번 해킹 사태의 원인으로 지목했다. 그러면서 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호 거버넌스 강화, 정보보호 인력·예산 확대 등을 재발 방지 대책으로 제안했다.

과기정통부는 이러한 점을 고려해 이번 침해 사고는 SKT가 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다. 현재 SKT 이용약관 제43조에는 회사의 귀책 사유로 인해 해지할 경우 위약금 납무 의무가 면제된다는 내용이 명시돼 있다.

과기정통부는 “자문을 맡긴 대부분 법률 자문기관 5개 가운데 4개 기관이 이번 침해 사고를 SKT의 과실로 판단했다”며 “유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다”고 설명했다.

다만 이러한 판단은 SKT 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석은 아니라고 강조했다.

향후 다른 통신사들에서도 똑같은 정보유출사고가 발생하더라도 이런 보호의무를 충실히 했다고 판단되면 또 다른 결론에 도달할 가능성이 있는지에 대해서는 “계약당사자 간 채무 불이행을 어떤 범위, 신뢰, 계약의 신뢰가 훼손됐는지 또 이 계약을 파기할 정도의 신뢰 훼손에 이르렀는지 개별적인 판단을 거치게 될 것”이라고 덧붙였다.

이번 과기정통부의 '위약금 면제 가능' 해석으로 SKT 약정 기간 안에 KT나 LG유플러스, 알뜰폰 등으로 번호이동을 하는 경우 SKT에 지불해야 하는 위약금은 사라질 것으로 전망된다. 앞으로 이동하는 가입자는 물론 사고 이후 이미 타 통신사로 번호이동을 한 경우에도 위약금 면제가 적용될 것으로 보인다.

앞서 이재명 대통령은 전날 수석·보좌관 회의에서 “계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다”며 “국민의 피해보상에 대한 감정을 충분히 반영해야 하고 법률 해석을 피해자 쪽으로 적극적으로 해야 한다”고 언급했다.

한편 SKT가 위약금 면제를 실행할 경우 총 보상액은 최대 조단위가 될 전망이다. 유영상 SKT 대표는 지난 5월 국회 과학기술정보통신방송통신위원회 주재 청문회에서 “해킹으로 최소 250만명에서 최대 500만명의 가입자 이탈이 예상된다”며 “1인당 평균 위약금은 10만원으로, 여기에 3년치 매출 손실을 더하면 7조원 이상의 손실이 발생할 수 있다”고 언급한 바 있다.

정채윤 한국금융신문 기자 chaeyun@fntimes.com