해킹 사고가 발생한 SK텔레콤이 28일부터 2300만명에 달하는 전 고객을 대상 유심 무상 교체를 실시하기로 결정했다. 사진은 25일 서울 한 SKT 대리점에서 한 직원이 사용한 유심 카드를 들어 보이고 있다. 연합뉴스SK텔레콤이 해킹 공격을 받은 사실을 법정 시한을 넘겨 신고한 사실이 알려진 가운데, 한국인터넷진흥원(KISA)에 제출된 신고서에 기록된 해킹 인지 시간마저 실제 인지 시간보다 늦은 시간으로 적힌 것으로 나타났다.
국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 KISA에서 제출받은 자료에 따르면, SKT는 지난 20일 오후 4시 46분에 인터넷 해킹사건 관련 침해사고 신고서를 제출했다.
해당 신고서에서는 SK텔레콤의 해킹 인지 시간이 같은 날 오후 3시 30분으로 기록된 것으로 파악됐다.
하지만, 실제 SKT는 지난 18일 오후 6시 9분에 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 발견했고, 같은 날 오후 11시 20분에 악성코드를 발견해 해킹 공격을 받았다는 사실을 내부에 공유했다. 다음 날인 19일 오전 1시 40분엔 어떤 데이터가 빠져나갔는지 분석을 시작했다.
즉, SKT가 실제 해킹 사실을 인지한 시점은 '18일 오후 11시 20분'이었지만, 신고서엔 이것이 '20일 오후 3시 30분'으로, 40시간 지난 시점으로 제출 것이다.
정보통신망법은 정보통신서비스 제공자가 해킹 등 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고 발생 일시, 원인, 피해 내용 등을 과기부 장관이나 KISA에 신고해야 한다고 규정하고 있다.
SKT가 KISA에 제출한 신고 자료에 따르면, 20일 오후 3시 30분에 해킹을 인지해 1시간 16분 만인 오후 4시 46분에 신고해 '늑장신고' 논란을 피할 수 있는 셈이다.
SKT 측은 신고서 접수 당시 해킹 인지 시점을 '18일 오후 11시 20분'으로 제출하려고 했지만, KISA 측에서 오히려 '20일 오후 3시 30분'으로 신고하도록 안내한 것으로 파악됐다고 의원실 측은 설명했다.
의원실은 "KISA는 '해킹사고의 인지 시간은 기업에서 사고 조사 후 명확하게 침해사고라고 판단하고 내부 보고한 시간'이란 입장이지만, 이를 감안하더라도 SKT는 이미 18일 오후 11시 20분 해킹 사실을 내부에 보고한 것으로 밝혀졌다"고 강조했다.
의원실에 따르면, KISA는 "SKT의 해킹 신고를 접수하는 과정에서 회사 보안 책임자가 신고를 하자고 결정한 시점을 사고 인지 시점으로 보고 사건 접수 실무자가 시간을 정정한 것"이라며 "일종의 소통 오류가 있었다"고 해명했다.
최 의원은 "SKT가 지난 18일 밤 해킹을 인지하고 내부 공유까지 한 것이 명백한 데도 책임자가 신고를 결정한 시점이 사고 시점이라며 고쳐준 것은 납득하기 어렵다"며 "SK가 침해사고 발생 시 이를 알게 된 때부터 24시간 이내에 신고하도록 한 규정을 어기자 알아서 무마해 주려 한 것 아닌지 의심된다"고 지적했다.
아울러 △당국이 SKT에 침해사고 확인을 위한 자료 보전, 문서 제출을 공문으로 요청한 시점이 신고 접수 21시간여가 지난 뒤인 21일 오후 2시 6분이었다는 점 △현장 상황 파악과 대응 방안 논의를 위해 KISA가 전문가를 파견한 것은 이보다 6시간이 더 지난 21일 오후 8시로 신고 접수 28시간 만이었다는 점도 문제로 꼽힌다. 이마저도 실제 서버 해킹이 일어난 분당 센터가 아닌 서울 중구 SKT 본사였는데, KISA 측은 원격으로도 상황 파악이 가능했기 때문이라고 설명한 것으로 전해졌다.
최 의원은 "가입자 2300만 명이 '디지털 신분증' 역할을 하는 유심 정보 유출로 불안해 하는 초유의 사건에 대한 당국의 대응이 신속하고 적절했다고 보기 어렵다"고 지적했다.
과기부 등 민관합동조사단은 사건 인지 시점 기록이 바뀐 부분이나 초기 대응이 적절했는지 여부 등을 포함해 상황을 조사 중이다.