전체기사 최신뉴스 GAM
KYD 디데이
산업 ICT

속보

더보기

과기정통부 "SKT, '해킹사고' 귀책사유 존재…위약금 면제해야"

기사입력 :

최종수정 :

※ 본문 글자 크기 조정

  • 더 작게
  • 작게
  • 보통
  • 크게
  • 더 크게

※ 번역할 언어 선택

4일 SK텔레콤 침해사고 민관합동조사단 최종 조사 결과 발표
"계약상 안전한 통신서비스 제공 의무 위반…위약금 면제 사유"
'사고 신고 지연' 과태료 부과, '자료보전명령' 위반은 수사 의뢰
정보보호 거버넌스 강화, 인력·예산 확대 등 재발방지 대책 제시

[서울=뉴스핌] 이성화 기자 = 과학기술정보통신부(과기정통부)는 SK텔레콤에서 발생한 범용가입자식별모듈(USIM, 유심) 해킹 사고와 관련해 SK텔레콤의 귀책사유가 존재한다고 보고 이용자들의 위약금을 면제해야 한다고 결론내렸다.

과기정통부는 4일 SK텔레콤 침해 사고 민관합동조사단(조사단)의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다.

과학기술정보통신부는 4일 SK텔레콤 침해 사고 민관합동조사단의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 사진은 서울 강서구 김포공항 국제선 SKT 로밍센터의 모습. [사진=뉴스핌DB]

조사단은 이번 SK텔레콤 침해사고가 국내 1위 이동통신사의 침해 사고인 점, 유심 정보 유출로 인한 휴대전화 부정 사용 등 국민 우려가 증가한 점, 악성코드의 은닉성 등을 고려해 전체 서버 4만2605대를 대상으로 BPF도어(BPFDoor) 및 타 악성코드 감염여부에 대한 강도 높은 조사를 시행했다.

"SKT 정보보호 체계 문제점 발견"…재발방지 대책 마련

이번 사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과 BPFDoor 27종을 포함한 악성코드 33종이 확인됐다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이었다.

또한 감염서버 중 단말기식별번호(IMEI), 이름·생년월일·전화번호·이메일 등 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나 정밀 분석 결과 방화벽 로그기록이 남아있는 기간(IMEI 기준 지난해 12월 3일~올해 4월 24일, CDR 기준 지난해 12월 9일~올해 4월 20일)에는 자료유출 정황이 없는 것을 확인했다. 다만 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다.

조사단은 피해확산 방지를 위해 확인된 악성코드 정보를 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 공유하고 지난달 30일 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.

공격자는 2021년 8월 6일 원격제어, 백도어 기능 등이 포함된 악성코드(CroosC2)를 최초로 설치했고 2023년 11월 30일부터 지난 4월 21일까지 초기 침투 과정에서 확보한 계정 정보를 활용해 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치한 것으로 조사됐다.

이어 지난 4월 18일 HSS 3개 서버에 저장된 유심정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.

조사단은 이번 조사를 통해 SK텔레콤에 ▲계정정보 관리 부실 ▲과거 침해 사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점을 발견하고 재발방지 대책을 마련했다.

SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해 사고에서 감염이 확인된 HSS 관리서버 계정정보를 타 서버에 평문으로 저장한 것으로 나타났다. 조사단은 공격자가 해당 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다.

이에 과기정통부는 SK텔레콤에 "서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화해 저장하는 한편 서버 접속을 위한 다중 인증 체계를 도입해야 한다"고 요구했다.

SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생했고 서버 점검 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 정보통신망이용촉진 및 정보보호 등에 관한 법률(정보통신망법)상 신고 의무를 이행하지 않았다.

당시 점검 과정에서 이번 침해 사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견해 점검했으나 해당 서버 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다. 이에 따라 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPFDoor 악성코드를 확인하지 못했고 침해 사고를 신고하지 않아 정부 조치도 이뤄질 수 없었다.

과기정통부는 "SK텔레콤은 침해 사고 발생 시 법령에 따른 신고 의무를 준수하고 철저한 원인 분석을 통해 피해 확산 방지 노력을 이행하라"고 했다.

이 밖에도 SK텔레콤은 KT, LG유플러스(LGU+) 등 다른 이동통신사와 달리 유심 복제에 활용될 수 있는 유심 인증키(Ki) 값을 암호화하지 않고 저장한 것으로 드러났다.

이에 과기정통부는 "관계 법령 및 세계이동통신사업자협회(GSMA) 권고에 따라 주요 정보를 암호화해 저장해야 한다"고 밝혔다.

과학기술정보통신부는 4일 SK텔레콤 침해 사고 민관합동조사단의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 사진은 유영상 SK텔레콤 대표이사가 지난 5월 2일 브리핑에서 유심 정보 해킹 사고에 사과하는 모습. [사진=뉴스핌DB]

이번 조사 결과 SK텔레콤은 침해 사고 대응 과정에서 사고 신고를 지연하거나 신고하지 않고, 자료 보전 명령을 위반하는 등 정보통신망법상 준수 의무 2가지를 위반한 것으로 나타났다.

과기정통부는 "SK텔레콤은 이번 침해 사고를 인지한 후 24시간이 지나서야 사고를 신고했으며 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 신고하지 않아 정보통신망법 제48조의3이 규정한 준수 의무를 위반했다"며 "과태료를 부과할 예정"이라고 밝혔다. 정보통신방법 제76조에 따르면 신고 지연 및 미신고는 3000만원 이하 과태료 부과 대상이다.

아울러 "정보통신망법 제48조의4에 따라 침해 사고 원인 분석을 위해 자료 보전을 명령했으나 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 후 조사단에 제출했다"며 "자료 보전 명령 위반과 관련해 수사기관에 수사를 의뢰할 예정"이라고 했다. 정보통신망법 제73조는 자료 보전 명령을 위반한 자를 2년 이하의 징역 또는 2000만원 이하 벌금에 처할 수 있다고 규정한다.

조사단은 SK텔레콤의 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 부족했던 점과 SK텔레콤의 침해 사고 대응이 체계적으로 가동되지 않은 사실도 확인했다.

과기정통부는 이에 대한 재발방지 대책으로 ▲EDR, 백신 등 보안 솔루션 도입 확대 ▲제로트러스트 도입 ▲분기별 1회 이상 모든 자산에 대한 보안 취약점 정기 점검 및 제거 등 보안 관리 강화를 제시했다.

또 협력업체 공급 SW 등 외부조직 및 서비스로부터 발생하는 위험에 대한 보호대책을 마련해 이행하는 등 공급망 보안체계 구축을 주문했다. 이와 함께 정보보호 최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 CEO 직속 조직으로 강화할 것을 요구했다.

이 밖에도 방화벽 로그기록 6개월 이상 보관, 중앙로그관리시스템 구축, 전사 자산 담당 정보기술 최고책임자(CIO) 신설, IT 자산관리 솔루션 도입, 정보보호 강화에 필요한 인력·예산 규모를 타 통신사 이상 수준으로 확대 등 다양한 재발방지 대책을 내놨다.

지난해 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37.9억원으로 KT(25.1명, 90.8억원), LGU+(14.3명, 57.5억원)에 비해 규모가 작은 것으로 조사됐다.

과기정통부는 SK텔레콤이 이달 중 재발방지 대책에 따른 이행계획을 제출하고 오는 10월까지 이행하도록 한 뒤 오는 11~12월경 이행 여부를 점검할 계획이다. 점검 결과 보완이 필요한 사항이 발생하면 정보통신망법에 따라 시정조치를 명령할 수 있다.

또한 이번 침해 사고를 계기로 민간 분야 정보보호 전반의 체계를 개편할 계기가 됐다고 판단, 국회 과학기술정보방송통신위원회 내 SK텔레콤 해킹사고 관련 TF와 논의를 거쳐 법·제도 개선 방안을 마련할 예정이다.

"SKT, 계약상 안전한 통신서비스 제공할 의무 위반"

과기정통부는 사고 초기 SK텔레콤 이용약관의 위약금 면제 규정을 이번 침해 사고에 적용 가능한지에 대해 4개 기관에 법률 자문을 받았다. 당시 자문기관들은 조사 결과에서 SK텔레콤의 과실이 인정된다면 이용자가 계약 해지 시 위약금 면제 규정 적용이 가능하다는 공통된 의견을 냈다.

SK텔레콤 이용약관 제43조는 회사의 귀책사유로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.

이후 과기정통부는 조사단의 최종 조사 결과를 바탕으로 지난달 26일부터 지난 2일까지 5개 기관에 추가적인 법률 자문을 진행했다.

그 결과 4개 기관에서는 이번 침해 사고를 SK텔레콤의 과실로 판단했고 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 법률 자문기관 한 곳은 현재 자료로 판단이 어렵다며 판단을 유보했다.

과기정통부는 "SK텔레콤은 안전한 통신서비스 제공을 위한 유심정보 보호와 관련해 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령이 정한 기준을 준수하지 않았다"며 이번 침해 사고에서 SK텔레콤의 과실이 있는 것으로 판단했다.

이어 "이번 침해사고로 유출된 유심정보는 이동통신망에 접속하고, 안전하고 신뢰할 수 있는 통신서비스를 위한 필수적인 요소"라며 "유심정보의 유출은 다른 보호조치가 없다면 제3자가 유심 복제를 통해 이용자의 전화번호로 통신서비스를 이용하거나 이용자에게 걸려 온 전화·문자를 제3자가 가로챌 수 있는 위험한 상황을 초래할 수 있다"고 지적했다.

그러면서 "정보유출 당시 SK텔레콤 유심보호서비스에는 약 5만명만 가입한 상태였으며 운영 중이던 부정사용방지시스템(FDS) 1.0은 유심정보 유출로 인한 모든 유심복제 가능성을 차단하는 데 한계가 있었다"며 "SK텔레콤이 유심정보를 침해 사고로부터 보호해 안전한 통신서비스를 제공(주된 채무)할 의무를 다하지 못한 것으로 판단했다"고 설명했다.

과학기술정보통신부는 4일 SK텔레콤 침해 사고 민관합동조사단의 최종 조사 결과 및 SK텔레콤 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 사진은 유상임 과학기술정보통신부 장관의 모습. [사진=뉴스핌DB]

결론적으로 과기정통부는 이번 침해 사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점을 고려할 때 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 봤다.

다만 "이 같은 판단은 SK텔레콤 이용약관과 이번 침해 사고에 한정될 뿐, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석은 아니다"라며 선을 그었다.

유상임 과기정통부 장관은 "SK텔레콤 침해 사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"라며 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 말했다.

이어 "정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다"라고 덧붙였다. 

shl22@newspim.com

[뉴스핌 베스트 기사]

사진
삼성전자, 2분기에만 작년 2배 벌어 [서울=뉴스핌] 김정인 기자 = 삼성전자가 올해 2분기 또 한 번 사상 최대 실적을 새로 썼다. 인공지능(AI) 데이터센터 투자 확대가 고대역폭메모리(HBM)를 넘어 서버용 D램과 범용 메모리 수요까지 끌어올리면서 반도체 사업이 전사 실적을 사실상 견인했다. 특히 2분기 영업이익은 지난해 연간 영업이익의 2배를 넘어섰다. 한 분기 만에 지난해 1년 치 이익을 훌쩍 웃도는 수익을 거둔 셈이다. 메모리 가격 상승과 공급 부족이 맞물리면서 실적 체력이 과거 메모리 슈퍼사이클 때와는 다른 수준으로 올라섰다는 평가가 나온다. [AI 인포그래픽=김정인 기자] ◆ 매출·영업익 모두 최대치 경신 삼성전자는 7일 연결 기준 올해 2분기 잠정실적으로 매출 171조원, 영업이익 89조4000억원을 기록했다고 밝혔다. 전 분기 대비 매출은 27.7%, 영업이익은 56.2% 증가했다. 지난해 같은 기간과 비교하면 매출은 129.3%, 영업이익은 1810.3% 급증했다. 이번 영업이익은 지난해 연간 영업이익 43조6011억원의 약 2배 수준이다. 직전 분기인 올해 1분기 영업이익 57조2328억원도 크게 웃돌았다. 매출 역시 1분기 133조8734억원을 넘어 분기 기준 최대치를 다시 경신했다. ◆ AI 투자 확대에 메모리 전방위 수혜 실적 개선의 중심에는 반도체 사업이 있다. 삼성전자는 이날 잠정실적 발표에서 사업부문별 실적을 공개하지 않았지만, 증권가에서는 디바이스솔루션(DS) 부문이 전사 영업이익의 대부분을 차지했을 것으로 보고 있다. 이는 글로벌 빅테크 기업들이 AI 데이터센터 투자를 공격적으로 늘리면서 메모리 수급이 빠르게 개선된 영향이다. 엔비디아 등 주요 AI 반도체 기업을 중심으로 HBM 수요가 늘어난 데 이어, 서버용 D램과 범용 D램, 낸드까지 수요 회복세가 확산됐다. 공급이 수요를 따라가지 못하는 상황도 가격 상승을 부추겼다. 시장조사업체 디램익스체인지에 따르면 지난달 PC용 범용 D램 평균 고정거래가격은 전월 대비 5% 상승하며 조사 시작 이후 최고 수준을 기록했다. 서버용 D램과 HBM도 AI 서버 투자 확대에 힘입어 높은 가격과 수익성을 유지하고 있는 것으로 파악된다. 업계에서는 세계 최대 메모리 생산능력을 갖춘 삼성전자가 이번 사이클의 수혜를 크게 누린 것으로 본다. HBM처럼 고부가 제품 수요가 늘어나는 동시에 범용 메모리 가격도 오르면서 메모리 사업 전반의 이익률이 개선됐다는 분석이다. 서울 서초구 삼성전자 사옥 전경 [사진=뉴스핌DB] ◆ 충당금 반영하고도 90조 육박 이번 실적에서 또 하나의 변수는 반도체 사업부 특별성과급 충당금이다. 증권가는 삼성전자가 2분기 실적에 DS부문 특별성과급 지급을 위한 충당금을 반영했을 것으로 보고 있다. 앞서 삼성전자와 노사는 DS부문 특별성과급 지급에 합의했다. 증권업계에서는 관련 충당금 규모를 10조원 후반대로 추산한다. 이를 감안하면 회계상 비용을 제외한 기준의 2분기 영업이익은 100조원을 넘어섰을 가능성도 거론된다. 충당금 부담을 반영하고도 영업이익이 90조원에 근접했다는 점은 메모리 업황의 강도를 보여주는 대목이다. 단순한 가격 반등이 아니라 AI 인프라 투자 확대가 장기 공급계약과 고부가 제품 판매 확대로 이어지면서 수익 구조 자체가 개선되고 있다는 해석이 가능하다. ◆ 반도체 쏠림 커진 실적 구조 반면 완제품 사업은 반도체와 온도차를 보인 것으로 추정된다. 디바이스경험(DX) 부문은 스마트폰 사업의 계절적 비수기와 부품 가격 상승에 따른 원가 부담으로 수익성이 둔화했을 가능성이 크다. 증권가에서는 스마트폰을 담당하는 모바일경험(MX)·네트워크 사업부의 2분기 영업이익을 5000억~1조원 수준으로 보고 있다. 1분기 신제품 출시 효과가 약해진 데다 주요 부품 가격 상승이 수익성을 압박한 것으로 풀이된다. TV와 생활가전도 수요 회복이 더디면서 실적 개선 폭이 제한적이었을 것으로 분석된다. 증권가에서는 영상디스플레이(VD)·생활가전(DA) 사업부 영업이익을 1000억원 미만으로 추정하고 있다. 삼성디스플레이는 전년 동기와 비슷한 5000억원 안팎, 전장 자회사 하만은 2000억~3000억원 수준의 영업이익을 기록한 것으로 추산된다. kji01@newspim.com 2026-07-07 08:14
사진
호날두 '눈물의 라스트 댄스' [서울=뉴스핌] 박상욱 기자 = 크리스티아누 호날두의 마지막 월드컵이 16강에서 막을 내렸다. 포르투갈은 축구계에서 가장 뜨거운 라이벌 매치 중 하나인 '이베리아 더비(Iberian Derby)'에서 스페인의 벽을 넘지 못하고 고개를 숙였다. 스페인(FIFA 랭킹 2위)은 7일 오전 4시(한국시간) 미국 텍사스주 댈러스 스타디움에서 열린 2026 FIFA 북중미 월드컵 16강전에서 포르투갈(7위)을 1-0으로 제압했다. 스페인은 12년 만에 월드컵 8강 무대를 밟았다. 반면 자신의 6번째 월드컵이자 마지막 무대임을 선언했던 호날두는 눈물을 보이며 씁쓸하게 그라운드를 떠났다. [댈러스 로이터=뉴스핌] 박상욱 기자=포르투갈의 호날두가 7일(한국시간) 북중미 월드컵 스페인과의 16강전을 마치고 눈물을 흘리고 있다. 2026.7.7 psoq1337@newspim.com 양 팀은 4-2-3-1 포메이션으로 맞불을 놨다. 스페인은 미켈 오야르사발을 최전방에 뒀고 다니 올모, 라민 야말 등이 지원했다. 포르투갈은 호날두를 필두로 주앙 펠릭스, 브루노 페르난데스가 공격을 이끌었다. 경기 초반은 스페인이 주도했다. 전반 8분 올모의 찔러주기를 받은 오야르사발이 골키퍼와 독대했으나 슈팅은 골대를 벗어났다. 전반 16분 야말과 알렉스 바에나의 연속 슈팅도 디오구 코스타 골키퍼의 선방에 막혔다. 포르투갈도 반격했다. 전반 37분 호날두의 슈팅이 우나이 시몬 골키퍼에게 막혔고 전반 41분 누누 멘데스의 강력한 슈팅은 수비 맞고 크로스바를 강타했다. 후반전에도 팽팽한 흐름은 이어졌다. 포르투갈은 후반 9분 핵심 수비수 멘데스가 부상으로 쓰러지는 악재를 맞았다. 이후 양 팀은 교체 카드를 던지며 총력전에 나섰다. [댈러스 로이터=뉴스핌] 박상욱 기자=스페인의 특급 조커 미켈 메리노가 7일(한국시간) 북중미 월드컵 포르투갈과의 16강전에서 결승골을 넣고 기뻐하고 있다. 2026.7.7 psoq1337@newspim.com 승부는 용병술에서 갈렸다. 루이스 데 라 푸엔테 스페인 감독의 선택이 적중했다. 후반 45분 프리킥 상황에서 빠르게 공이 전개됐다. 교체 투입된 페란 토레스의 패스를 역시 교체로 들어온 미켈 메리노가 왼발 슈팅으로 연결해 포르투갈의 골망을 흔들었다. 포르투갈은 후반 추가시간 베르나르두 실바의 헤더가 윗그물을 때리며 마지막 기회를 날렸다. 결국 경기는 스페인의 1-0 승리로 종료됐다. 이번 대회에서 토너먼트 잔혹사를 끊고 최고령 득점 기록을 세웠던 호날두는 스페인의 견고한 수비에 묶여 '슬픈 라스트 댄스'를 마쳤다. 대회를 마친 스페인은 개최국 미국과 벨기에의 경기 승자와 8강에서 격돌한다. psoq1337@newspim.com 2026-07-07 06:27
기사 번역
결과물 출력을 준비하고 있어요.
종목 추적기

S&P 500 기업 중 기사 내용이 영향을 줄 종목 추적

결과물 출력을 준비하고 있어요.

긍정 영향 종목

  • Lockheed Martin Corp. Industrials
    우크라이나 안보 지원 강화 기대감으로 방산 수요 증가 직접적. 미·러 긴장 완화 불확실성 속에서도 방위산업 매출 안정성 강화 예상됨.

부정 영향 종목

  • Caterpillar Inc. Industrials
    우크라이나 전쟁 장기화 시 건설 및 중장비 수요 불확실성 직접적. 글로벌 인프라 투자 지연으로 매출 성장 둔화 가능성 있음.
이 내용에 포함된 데이터와 의견은 뉴스핌 AI가 분석한 결과입니다. 정보 제공 목적으로만 작성되었으며, 특정 종목 매매를 권유하지 않습니다. 투자 판단 및 결과에 대한 책임은 투자자 본인에게 있습니다. 주식 투자는 원금 손실 가능성이 있으므로, 투자 전 충분한 조사와 전문가 상담을 권장합니다.
안다쇼핑
Top으로 이동