정부 "위약금 면제 해야"…SKT "전격 수용, 통렬히 반성"

[앵커] SK텔레콤에서 이용자 대부분의 개인정보와 유심정보가 해킹됐다는 충격적인 소식이 알려진 것이 석달 전인 지난 4월입니다.   오늘 정부가 이와 관련한 최종 조사 결과를 발표했는데요. 피해자가 SK텔레콤을 해지할 시 위약금을 내야 하는지가 가장 큰 쟁점이었는데, 정부가 오늘 위약금을 내지 않아도 된다고 밝혔습니다.   김기용 기자와 함께 자세한 내용 알아보겠습니다.   김 기자, 정부가 이렇게 판단한 배경부터 정리해주시죠.   [기자] 네, 오늘 과학기술정보통신부를 주축으로 하는 민관합동조사단의 최종 브리핑이 있었는데요. 결론부터 말씀드리면 이번 사고는 SK텔레콤 책임이 명백하다는 게 정부의 판단입니다. 통신회사는 안정적인 서비스를 제공할 법적 의무가 있고, 이용자는 그 믿음 아래 계약을 맺는 건데요. 이번 해킹 사고는 그 신뢰를 심각하게 훼손한 사건으로 보고, 이용자가 해지를 원할 경우 위약금을 물릴 이유가 없다는 겁니다.   [인서트] 류제명 과기부 2차관 말 직접 들어보시죠. "이번 침해 사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신 서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해 사고는 SK텔레콤 이용 약관상 회사의 귀책 사유에 해당한다고 판단하였습니다."   [앵커] 대통령도 입장을 밝혔죠?   [기자] 맞습니다. 이재명 대통령은 발표 하루 전날인 어제 "계약 해지 과정에서 회사 책임으로 소비자가 손해를 보면 안 된다"고 밝혔는데요, 오늘 정부 발표는 사실상 이 대통령의 기조를 뒤따른 조치로 볼 수 있습니다.   [인서트] 강유정 대통령실 대변인의 말 들어보시죠. "국민의 피해에 대한 보상에 대한 감정을 충분히 반영해야 하고, 그래서 법률 해석을 피해자 쪽에 적극적으로 해석해야 한다라는 말씀을 하셨고, 계약 해지의 위약금 부분에 있어서는 국민의 이익을 최대한 반영해야 된다라는 말씀으로 들어주시면 될 듯합니다."   [앵커] 정부 발표 직후 SK텔레콤 측에서도 입장문을 냈다고요?   [기자] 네. SK텔레콤은 곧바로 기자회견을 열고 침해 사고 이후, 그러니까 지난 4월 18일부터 오는 14일까지 해지 및 해지 예정인 약정 고객 대상에게 위약금을 면제해주겠다고 밝혔습니다.   여기에 향후 5년간 총 7천억원 규모의 투자를 약속하는 '정보보호 혁신안'도 발표했습니다. 정보보호 전문 인력을 기존 대비 2배로 확대하고, 보안 기술·시스템 강화를 위한 투자액도 대폭 늘린다는 게 골자입니다.   그리고 다음달 8월 요금을 50% 할인하고, 매월 데이터 추가 제공 등 5천억원 규모의 '고객 감사 패키지'도 마련했다고 밝혔습니다. SKT 유영상 대표도 통렬하게 반성하고 참회하는 심정이라고 고개를 숙였습니다.   [앵커] 이쯤 되면 궁금해지는 게 '얼마나 심각한 해킹이었길래 위약금까지 면제하느냐'일 것 같은데요. 해킹 사고의 실체, 어떻게 밝혀졌습니까?   [기자] 결론부터 말씀드리면, 3년에 걸친 침투와 방치, 그리고 기초 보안조차 지켜지지 않은 허술한 관리가 모두 드러났습니다.   해커는 2021년 8월, 외부 인터넷과 연결된 SK텔레콤 내부 서버에 악성코드를 심었고, 이를 통해 관리자 계정과 비밀번호를 탈취해 내부 핵심 시스템으로 침투했습니다.   그 핵심이 바로 HSS 서버, 즉 통신 인증과 유심 정보가 오가는 서버입니다. 해커는 여기에 고급 악성코드를 심고, 2024년 4월에는 가입자 전체의 유심 정보 약 9.8GB를 외부로 유출시켰습니다.   [앵커] 2021년부터면 꽤 오래됐네요. SK텔레콤은 이런 사실을 몰랐던 건가요?   [기자] 알고 있었습니다. 정부 조사에 따르면, SK텔레콤은 2022년 2월에 이미 서버 재부팅과 이상 로그를 감지했고, 일부 감염된 서버도 파악했지만, 당국에 신고하지 않았습니다.   신고 의무를 어긴 채 자체적으로만 조치했는데요, 결국 핵심 악성코드는 발견하지 못했고, 해커의 활동은 계속됐습니다.   더 큰 문제는, SKT가 이 과정에서 핵심 서버에 누가 접속했는지도 끝내 놓쳤다는 점입니다. 6개의 로그인 기록 중 5개는 그냥 지나쳤고, 딱 1개만 열어봤는데 그 안에 해커 흔적이 없어서 이상이 없다고 판단했다는 겁니다.   정부도 중국 해킹 조직의 수법과 유사하다는 정도만 확인했을 뿐, 누가 무슨 이유로 해킹했는지는 끝내 명확하게 밝혀내지 못했습니다.   [앵커] 통화 상대, 시점 등 민감한 개인 정보가 노출될 수 있어 시선을 끌었던 통신기록 유출 문제는 어떻게 결론이 났나요?   [기자] 그건 사실상 '확인 불가' 상태입니다. 왜냐하면 SK텔레콤이 2022년 6월부터 2024년 말까지, 약 2년 반 동안의 보안 로그를 보관하지 않았기 때문입니다. 해킹 흔적을 조사할 근거 자체가 없는 셈이죠.   정부는 또 SK텔레콤이 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만, 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다고도 지적했습니다.   [앵커] 이쯤 되면 SK텔레콤의 보안 시스템 자체에도 문제가 많았을 것 같은데요.   [기자] 맞습니다. 이번 사고에서 드러난 SK텔레콤의 보안 실태는 한마디로 총체적 부실이었습니다.   가장 중요한 유심 인증키도 암호화 없이 보관하고 있었고, SK텔레콤의 정보보호 책임자(CISO)는 네트워크 보안이 아니라 IT 시스템만 담당하고 있었습니다. 보안 인력과 예산도 경쟁사보다 턱없이 부족했습니다.   이 밖에 정부의 자료 보전 명령에도 일부 서버를 포렌식 분석이 불가능한 상태로 제출하기도 했습니다. 정부는 이 부분에 대해 수사기관에 수사의뢰할 방침입니다.   [앵커] 앞으로 이런 일이 또 벌어지지 않으려면, 어떤 조치가 필요할까요?   [기자] 정부는 SK텔레콤에 대해 강도 높은 재발 방지 대책을 요구했습니다.   우선 모든 서버에 실시간 탐지 시스템(EDR) 도입, 분기 1회 이상 전체 자산 보안 점검, 정보보호 책임자를 CEO 직속 조직으로 격상, 그리고 6개월 이상 보안 로그 보관 및 중앙 관리 체계 마련이 핵심입니다.   과기부는 이달 내로 SKT가 이행 계획을 제출해야 하며, 연말에 그 이행 여부를 점검하겠다고 밝혔습니다.   또한 KT, LGU+에 대한 점검에서는 유사 문제가 없었지만, 네이버·카카오 같은 주요 플랫폼 기업에 대해서는 조사가 진행 중이라고 덧붙였습니다.