SKT 해킹 '실체부터 책임까지' 기약 없는 오리무중

과기부·KISA, 개인정보위 등 조사
구체적인 유출 정보부터 관리 부실 여부까지…시간 걸릴 듯
SKT, 해킹 '24시간 내' 보고 규정도 어겨…결국 유심 무료 교체

해킹 사고 관련 발언하는 유영상 SK텔레콤 대표이사. 연합뉴스

SK텔레콤 이용자 유심(USIM) 정보가 해킹돼 과학기술정보통신부와 개인정보보호위원회, 경찰 등 당국의 조사가 전방위적으로 진행되고 있다.
 
과기부 등의 경위 조사 자체는 우선 한두 달가량으로 언급됐지만, 경우에 따라 그 이상 소요될 수 있으며, 무엇보다 사업자의 관리 책임 유무를 따지는 과정이 만만찮을 거란 관측도 나온다.
 

SKT는 불안 확산을 막기 위해 결국 유심 무료 교체 지원을 단행했다. 다만, 민감정보 유출 등 2차 피해 가능성과 '늑장 보고' 등 논란은 계속될 것으로 보인다.
 

해킹 경위, 유출 정보 조사 돌입…"상당 시간 소요될 수도"

25일 업계에 따르면, 이번에 해킹된 장비는 4G, 5G 고객들이 음성 통화를 이용할 때 단말 인증을 수행하는 서버로 알려졌으며, 이에 따라 유출된 정보는 가입자별 유심을 식별하는 고유식별번호 등으로 추정된다.
 
민감 정보인 이름, 주민등록번호, 휴대전화번호 등 유출 여부 등은 아직 파악되지 않았다.
 
당국은 전방위 조사에 돌입했다. 과기부와 한국인터넷진흥원(KISA)은 비상대책반을 구성하고, 민관합동조사단을 구성해 원인 분석에 나섰다. 필요시 재발 방지 대책도 마련할 예정이다. 아울러 개인정보보호위원회는 유출 정보의 구체적인 내용, 데이터 사업자인 SKT의 보안 관리 의무 소홀 여부 등을 검토‧판단할 계획이다.
 

유상임 과기부 장관은 지난 24일 서울 강남구 코엑스에서 열린 '2025 월드IT쇼'에서 관련 질문에 "유출 경위와 피해 규모에 대해 자세히 나온 건 없다"면서도 "민관 합동조사단이 조사 중이고 조사에 한두 달 정도 걸릴 것으로 예상한다"고 답했다.
 
다만, 과기부‧KISA의 조사뿐만 아니라, 구체적인 유출 정보 내용과 사업자 책임 유무 등을 포함한 개인정보보호위의 광범위한 조사를 고려하면, 사건의 전체적인 실체를 파악하는 데엔 더 오랜 시간이 소요될 가능성도 크다.
 
개인정보보호위 관계자는 "해킹 경로와 같은 경위뿐만 아니라 특히 어떤 정보가 유출됐는지, SKT가 어떤 안전 조치를 하고 있었는지, 사안에 따라선 혹여 위법 사항은 없었는지 분석하고 판단을 내려야 할 수 있다"고 설명했다.
 
조사 기간은 기본적으로 착수에서부터 종료까지 6개월 정도지만, 사안이 복잡해 심층적인 조사가 필요할 경우 더 연장될 수 있다는 점도 덧붙였다.
 
실제 2023년 LG유플러스의 개인정보 유출 사태 당시엔 같은 해 1월 이러한 사실이 알려진 뒤 7월에 사업자 책임을 물어 과징금 68억 원과 과태료 2700만 원이 결정됐다.
 
다만, 정보 유출과 파악 시차가 컸던 당시 사건과 달리 이번 사태의 경우 SKT가 모니터링 중 데이터 이상을 발견했다는 점 등은 변수다.
 
고려대 기술경영전문대학원 이성엽 교수는 "SKT도 자체적으로 정확한 유출 정보를 잡지 못하고 있는 것 같은데, 실제 관련 증거를 수집하고, 정보 보호 기준 위반 여부를 검토하는 과정에 상당한 시간이 걸릴 수밖에 없다"고 말했다.
 
그러면서 "SKT가 국가 기간통신사업자로서 보안 관리가 마냥 허술하진 않았을 거로 보이는데, 그러한 수준이 법 위반인지 평가하는 것도 쉬운 일이 아니고, SKT 역시 적극적으로 방어할 유인이 있다"고 평가했다.
 
보안 수준이 상대적으로 높은 이동통신사에서 이러한 사고가 발생했다는 점에서 '북한 해킹설'까지 거론되는 만큼, 사건의 '견적'은 오리무중에 빠져 있다.
 

설상가상 '늑장 신고'까지…SKT, 결국 유심 무료 교체해 주기로

연합뉴스

이런 가운데 SKT는 정보통신망법상 침해사고가 발생한 것을 인지한 지 24시간 이내에 당국에 신고해야 하는 규정을 위반한 것으로 알려지면서 '늑장 신고' 논란까지 불거졌다.
 

국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 SKT로부터 파악한 내용에 따르면, 회사는 지난 18일 오후 6시 9분 사내 시스템의 이상징후를 최초로 인지했고, 오후 11시 20분 악성코드를 발견하고 해킹 공격을 받았다는 사실을 확인했다.
 
즉, 침해사고 인지 후 24간 이내에 피해 내용과 원인, 대응 현황 등에 대해 파악한 사항을 과기부 장관이나 KISA에 신고해야 하는 정보통신망법상 19일 오후 11시 20분까지는 신고해야 했지만, 실제 신고한 시점은 20일 오후 4시 46분이었다.
 
SKT 측은 "사안의 중대성을 고려해 신고에 필요한 최소한의 사항들을 파악하기 위해 시간이 지연됐다"며 "고의로 이를 지연할 생각은 없었다"고 설명했다.
 
SKT는 결국 유심 교체를 희망하는 모든 이용자를 대상으로 무료 교체 지원을 결정했다. eSIM(이심·내장형 가입자 식별 모듈)을 포함한 유심 교체 서비스는 오는 28일 오전 10시부터 시작한다. 앞서 지난 19일~27일 자비로 유심을 교체한 이용자들도 이미 납부한 비용이 별도로 환급될 예정이다.
 

그러나 유출 정보 범위가 아직 정확하게 파악되지 않아 도용 등으로 인한 2차 피해 가능성이 열려 있는 만큼, 이용자 불안은 온전히 가시지 않고 있다.

재계도 민감 정보 유출을 우려하며 긴장하고 있다. 삼성은 해킹 사고가 발생한 SK텔레콤을 이용하는 임원들에게 서둘러 유심(USIM) 교체에 나서라고 주문했다. 삼성 일부 계열사는 해킹 사고가 알려진 직후 유심 보호 서비스에 가입하도록 권고했다가 이후에 다시 '전원 유심 교체' 지침을 내리기도 한 것으로 전해졌다.