[종합] 과기정통부, SKT 유심 해킹 결론…"계약상 의무 위반, 위약금 면제 필요"

기사입력 : 2025년07월04일 16:23

최종수정 : 2025년07월04일 16:54

통신서비스 안전 의무 위반 판단…SK텔레콤의 귀책 명확
위약금 면제, 약관에 근거…소급 적용 가능해
자료보전명령 미이행 등 법령 위반 정황 확인

[서울=뉴스핌] 양태훈 기자 = 과학기술정보통신부(이하 과기정통부)가 SK텔레콤의 유심 해킹 사고에 대해 사업자의 귀책사유가 명확하다고 판단, 약관에 따라 위약금을 면제해야 한다는 입장을 공식화했다. 정부는 SK텔레콤이 통신서비스 사업자로서의 계약상 의무를 다하지 않았고, 법령 위반 정황도 다수 드러났다고 밝혔다.

4일 과기정통부는 민관합동조사단의 최종 조사 결과를 바탕으로 SK텔레콤 해킹 사고에 대한 정부의 공식 입장을 발표했다.

류제명 제2차관은 브리핑에서 "SK텔레콤은 통신서비스 사업자로서 이용자 보호에 필요한 기본적인 주의의무를 다하지 않았으며, 계약상 주된 채무인 '안전한 통신서비스 제공' 의무를 위반한 것으로 판단했다"고 밝혔다.

류제명 과학기술정보통신부 제2차관이 4일 서울 종로구 정부서울청사 브리핑룸에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. [사진=뉴스핌DB]

이번 조사는 2021년 8월 최초 악성코드 침투 시점부터 올해 4월까지 공격 경로와 내부 전파 양상 등을 추적해 이루어졌다. 공격자는 원격 제어 및 백도어 기능이 포함된 악성코드(CroosC2)를 최초 설치한 뒤, 이후 계정정보를 확보해 2023년 11월부터 지속적으로 악성코드를 퍼뜨린 것으로 나타났다. 특히 지난 4월 18일에는 HSS 서버 3곳에 저장된 유심정보가 외부 접점 서버를 통해 유출된 것으로 확인됐다.

민관합동조사단은 SK텔레콤 보유 서버 4만 2,605대를 전수조사한 결과, BPFDoor 계열 27종을 포함해 총 33종의 악성코드가 탐지됐으며, 이 중 28대 서버가 실제 감염된 것으로 확인됐다. 유출된 유심 관련 정보는 IMSI, 전화번호 등을 포함한 25종으로, 총 9.82GB에 달하며 건수는 약 2,696만건으로 추산된다.

또한 이번 사고와 직접 연관되지는 않았지만, 공급망 보안 관리 취약으로 인해 또 다른 악성코드 1종이 SK텔레콤의 서버 88대에 유입된 사실도 확인됐다. 이와 별개로, SK텔레콤은 2022년 2월 악성코드 2종을 자체적으로 탐지해 조치한 전력이 있지만, 해당 정황을 정부에 신고하지는 않았다.

이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "유심 인증키 등이 평문으로 저장돼 있었고, 일부 개인정보도 외부 공격에 취약한 형태로 존재했다"며 "전반적인 보안 수준이 업계 평균에 미치지 못하는 상태였다"고 지적했다.

정부는 SK텔레콤이 침해사고 정황을 포착하고도 법령상 침해사고 신고 의무를 이행하지 않은 점, 자료보전명령을 이행하지 않고 일부 서버를 포렌식 불가 상태로 제출한 점 등을 중대하게 보고 있다. 류 차관은 "관련 법령 위반에 대해 과태료 부과와 함께 수사기관 수사의뢰도 병행할 계획"이라고 밝혔다.

사진은 유영상 SK텔레콤 대표이사가 지난 5월 2일 브리핑에서 유심 정보 해킹 사고에 사과하는 모습. [사진=뉴스핌DB]

이날 브리핑에서는 위약금 면제 가능성과 소급 적용 범위, 향후 행정조치 계획 등에 대한 질의응답도 이어졌다. 류 차관은 "SK텔레콤은 자사 이용약관 제43조에 따라 귀책사유 발생 시 이용자 위약금을 면제하도록 돼 있다"며 "4월 18일 유심정보 유출 시점을 기준으로, 해당 시점에 피해 가능성에 노출된 가입자는 위약금 면제를 적용받을 수 있다"고 설명했다.

이어 "그 이후 해지한 고객에 대해서도 소급 적용이 가능하다는 것이 정부의 법률검토 결과"라고 덧붙였다. 법률 자문은 총 6개 기관을 통해 이뤄졌으며, 이 중 4개 기관은 SK텔레콤의 과실을 명확히 인정할 수 있다고 판단했다.

과기정통부는 SK텔레콤이 이를 수용하지 않을 경우, 전기통신사업법 제92조에 따라 시정명령을 내릴 수 있고, 필요한 경우 제20조에 따라 등록 취소 등 행정조치도 검토할 방침이다.

이동근 본부장은 IMEI, CDR 등 통신부가정보 유출 가능성과 관련해 "로그가 남지 않은 기간이 있어 유출 여부를 단정하기 어렵지만, IMEI 단독으로는 복제가 어렵고, 제조사와 칩셋 인증값까지 함께 유출되지 않으면 복제가 사실상 불가능하다는 설명을 들었다"고 전했다.

사진은 서울 강서구 김포공항 국제선 SKT 로밍센터의 모습. [사진=뉴스핌DB]

류 차관도 "기술적으로 100% 안전하다고 말할 수는 없지만, 부정사용방지시스템(FDS) 2.0이 5월 18일 고도화됐고, 현재까지 복제폰 사용 등 피해 사례는 보고되지 않았다"고 설명했다.

한편, 과기정통부는 이번 사고를 계기로 정보보호 체계 강화를 위한 제도 개선에도 착수한다. CISO(최고정보보호책임자)를 CEO 직속으로 격상하고, 전사 보안 점검 주기를 분기 1회 이상으로 확대하며, 제로트러스트 보안 체계와 중앙 로그관리시스템, IT자산관리 솔루션 등을 전면 도입할 계획이다.

또한 SK텔레콤의 정보보호 인력과 예산이 타 통신사 대비 낮은 수준임을 지적하며 이에 대한 보완 필요성도 언급했다.

류 차관은 "이번 사고는 단순한 해킹 사건이 아닌 통신 인프라 전반에 대한 신뢰 문제를 환기시킨 계기"라며 "정부는 국민 통신 안전 확보를 위해 관련 제도를 재정비하고, 국회와 협력해 입법까지 추진하겠다"고 말했다.

이어 "SK텔레콤도 사회적 책임을 인식하고 이용자 보호에 적극적으로 나서야 한다"고 덧붙였다.

dconnect@newspim.com

[관련기사]

[관련키워드]

과기정통부 정부 사고 위약금 민관합동 제2차관 SK텔레콤 유심 해킹

GAM - 해외주식 투자 도우미

제타 글로벌 ② '아테나'에 오픈AI 최신 모델 통합해 경쟁력↑

제타 글로벌 ① 오픈AI 협력으로 AI 마케팅 시장 공략 가속화

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

[홍콩 대장주] 메이퇀② 실적은 고속 상승, 밸류는 역대 저점

[뉴스핌 베스트 기사]

사진

발견 어려운 췌장암 AI로 조기 진단 [베이징=뉴스핌] 조용성 특파원 = 중국 알리바바가 개발한 AI 솔루션이 췌장암 조기 진단을 해내는 것으로 나타났다. 췌장암은 발견하기가 극히 어려운 암으로, 보통 말기에 발견된다. 때문에 췌장암은 진단 후 5년 생존율이 10%에 불과하다. 중국의 AI 솔루션이 중국의 한 병원에서 시범 적용되고 있으며, 이를 통해 췌장암 조기 발견 사례가 늘고 있다고 뉴욕타임스 중문판이 6일 전했다. 알리바바가 개발한 이 솔루션의 명칭은 'PANDA(인공지능 췌장암 검사 시스템)'이다. 촬영된 CT 영상을 AI가 판독해 췌장암 확진을 결정하는 소프트웨어다. PANDA는 중국 내 여러 병원에서 임상을 진행 중이다. 이 중 한 곳은 닝보(寧波)대학 인민병원이다. 닝보대학 인민병원은 2024년 11월 PANDA를 도입해 임상시험을 시작했다. 현재까지 PANDA는 18만 건 이상의 복부 혹은 흉부 CT를 분석했고, 이를 통해 20건 이상의 췌장암을 발견했다. 이 중 14건은 조기 진단이었다. 췌장암은 조기 진단될 경우 수술을 통한 제거가 가능하다. 한 환자의 경우 복부 팽만감과 메스꺼움의 증상으로 병원을 찾아 CT를 촬영했으며, 췌장 전문 검사를 받지 않았지만, 췌장암 판정을 받았다. 현지 의사는 "PANDA의 식별이 없었으면 결코 췌장암 판정을 못 하는 상황이었으며, PANDA로 인해 환자의 췌장암이 조기에 발견됐고 수술을 통해 완치될 수 있었다"며 "AI가 환자의 생명을 구했다고 볼 수 있다"고 소개했다. 아직은 오차율이 비교적 높은 상태다. PANDA는 그동안 1400건의 스캔 영상에 대해 췌장암 가능 경고를 했다. 전문의들은 이 중 300개에 대해서만 정밀 진단이 필요하다고 판단했다. 이후 300명의 환자는 재검사를 받았다. 이 중 20여 건이 췌장암으로 판정받았다. PANDA를 개발한 곳은 알리바바 산하 다모(達摩)연구소다. 연구소의 베테랑 알고리즘 전문가는 2000명 이상의 췌장암 환자의 CT 영상을 취득해 방사선 전문의들에게 병변 위치를 수작업으로 표시하도록 요청했다. 그리고 결과물을 AI 학습으로 훈련시켰으며, 이를 통해 PANDA는 선명도가 낮은 CT 이미지에서도 췌장암을 식별할 수 있게 됐다. 알리바바의 PANDA는 지난해 4월 미국 식품의약국(FDA)으로부터 패스트트랙 의료 기기로 선정됐다. 해당 제도는 성능이 뛰어난 의료 기기의 경우 임상 시험 기간을 단축시켜준다. 캘리포니아 대학의 한 교수는 "임상 경험이 풍부한 전문가보다 PANDA가 의사들에게 더 가치가 있을 것"이라며 "PANDA와 같은 솔루션은 지방 병원이나 진료소의 유용한 보조수단이 될 것"이라고 평가했다. 중국 병원 자료사진. [신화사=뉴스핌 특약] ys1744@newspim.com 2026-01-06 11:36

사진

9월 북극항로 첫 시범운항 [부산=뉴스핌] 최영수 선임기자 = 해양수산부가 올해 북극항로 개척에 본격 나선다. 오는 8월 말에서 9월 중 컨테이너선(3000TEU급)을 투입해 시범운항을 실시할 예정이다. 이를 위해 상반기 중 시범운항에 참여할 선사 및 화주를 모집해 선정할 방침이다. ◆ 북극항로 개척 원년…첫 시범운항 주목 김성범 해양수산부 장관직무대행(차관)은 지난 5일 부산청사 해양수산부에서 신년 기자간담회를 열고 이 같은 내용을 포함한 새해 정책방향을 제시했다. 그는 "오는 9월 전후에 시범운항을 할 수 있도록 준비하고 있다"면서 "3000TEU급 컨테이너선을 투입할 예정"이라고 밝혔다. 이어 "3000TEU급 컨테이너선이 대형에 비하면 작다고 할 수 있지만, 크기는 중요하지 않다"면서 "중국이 지난해 운항한 선박도 4000TEU급 수준"이라고 설명했다. 김성범 해양수산부 장관직무대행(차관)이 지난 5일 부산청사 해양수산부에서 신년 기자간담회를 열고 새해 정책방향을 설명하고 있다. [사진=해양수산부] 2026.01.06 dream@newspim.com 김 대행은 "시범운항을 위해 올해 상반기 중에는 선사와 화주를 선정할 예정"이라면서 "시범운항이라는 면에서 여러 가지 인센티브를 제공할 방침"이라고 밝혔다. 다만 "선사가 선정되면 선사가 희망하는 게 있기 때문에 이를 반영해서 잘 결정하겠다"고 덧붙였다. 부산신청사 건립과 관련해서는 "내년 예산에 (신청사)설계비를 반영할 예정"이라면서 "내년부터 구체적인 (청사 건립)절차를 시작할 계획"이라고 밝혔다. UN해양총회 개최지와 관련해서는 "개최도시 선정은 UN과도 협의해야 할 사항"이라면서 "(유치에)관심 있는 도시들과 협의해서 결정하겠다"고 설명했다. ◆ 부산해양수도 조성 첫발…유관기관 모으기 가속 김 대행은 지난 5일 부산청사에서 열린 해수부 시무식에서 신년사를 통해 "북극항로 시대에 대비한 동남권 대도약을 실현하겠다"고 제시했다. 이를 위해 해양수산분야 유관기관을 부산으로 모으는 작업이 본격화될 전망이다. 해수부 산하기관들도 올해 부산 이전이 본격화될 것으로 보인다. 김 대행은 "기업, 공공기관, 해사법원, 동남권투자공사 등이 집적화된 해양클러스터 조성을 추진해 나가겠다"면서 "부산항을 세계 최대 규모의 항만으로 개발하고, 터미널 운영 효율화와 종합 항만서비스 제공을 통해 글로벌 물류 요충지로 성장시키겠다"고 다짐했다. 이어 "북극항로 시대에 대비한 동남권 대도약을 실현하겠다"면서 "부산에서 로테르담까지 북극항로 시범운항을 추진하고 해양수도권 육성전략을 조속히 수립하겠다"고 강조했다. 2026년 해양수산부 업무계획 [자료=해양수산부] 2025.12.23 dream@newspim.com dream@newspim.com 2026-01-06 11:00