[속보] 정부 “SKT, 해킹 사고 위약금 면제해야”

과학기술정보통신부가 최근 발생한 SK텔레콤 해킹 사고에 대해 이용자 위약금 면제를 공식적으로 권고했다. 정부는 이번 사고를 SKT의 계약상 주요 의무 위반으로 판단했으며, 이는 고객의 계약 해지 시 위약금을 부과하지 않아야 할 법적 근거가 된다고 밝혔다.

과기정통부는 4일 SKT 침해사고에 대한 민관합동조사단의 결과를 바탕으로 이 같은 입장을 발표했다. 조사단은 SKT가 타 통신사에 비해 정보보호 인력과 투자 규모가 부족했고, 전반적인 보안 관리가 미흡했다고 결론지었다. 특히 SKT의 보안 시스템에서는 계정정보를 암호화하지 않고 평문으로 저장한 점, 과거 침해사고에 대한 미신고, 그리고 정부의 자료보전 명령을 위반한 행위 등이 드러났다.

이번 사고로 유출된 유심 정보는 총 9.82GB에 이르며, 가입자 식별번호(IMSI) 약 2696만 건이 포함됐다. 민관조사단은 SKT의 28대 감염 서버에서 총 33종의 악성코드를 확인했으며, 이 가운데 27종은 BPF도어 계열로 분류됐다. 유출된 유심 정보는 전화번호와 IMSI 등 총 25종의 항목으로 구성돼 있었으며, 이는 통신 보안에 중대한 결함이 있었음을 보여준다.

과기정통부는 사고 초기부터 4개의 법률 자문기관을 통해 위약금 면제 가능성을 검토해 왔다. 자문기관들은 SKT의 과실이 인정되는 경우, 약관에 따라 위약금 면제가 가능하다는 의견을 제시했다. 이후 추가로 진행된 5개 기관의 자문 결과에서도 4곳이 SKT의 과실과 주요 의무 위반을 인정하며 면제 적용이 가능하다는 판단을 내렸다. SKT 이용약관 제43조에는 회사의 귀책사유로 인해 계약이 해지되는 경우 위약금 납부 의무가 면제된다고 명시돼 있다.

정부는 이번 사고에 대해 정보통신망법 위반으로 판단하고, SKT에 대해 과태료 부과 및 수사를 의뢰할 계획이다. 침해사고를 제때 신고하지 않은 점, 일부 사고를 아예 신고하지 않은 점, 그리고 자료보전 명령을 따르지 않은 점 등이 명백한 법 위반 사항으로 지적됐다.

재발 방지를 위한 대책도 함께 제시됐다. 여기에는 계정정보 암호화, 다중 인증 시스템 도입, 침해사고 신고 의무 준수, 주요 정보의 암호화 강화, 보안 솔루션의 확대, 공급망 보안 체계 구축, 정보보호 최고책임자의 권한 강화, 로그기록의 6개월 이상 보관, 정보보호 인력과 투자 확대 등이 포함됐다.

과기정통부는 SKT에 재발 방지 이행계획을 제출하도록 요구했고, 향후 이행 여부를 면밀히 점검할 계획이다. 만약 이행하지 않을 경우 정보통신망법에 따라 시정조치를 명령할 방침이다. 더불어 정부는 이번 사건을 계기로 통신망 보호를 위한 법제도 개선과 민간 부문 정보보호 투자 확대 방안을 국회 태스크포스와 협의해 추진할 예정이다.

유상임 과기정통부 장관은 이번 침해사고가 국내 통신 산업 전반과 네트워크 인프라 보안에 경종을 울리는 사건이라고 평가하며, SKT가 국내 1위 통신사로서 그 책임에 걸맞은 보안 수준을 갖춰야 한다고 강조했다. 유 장관은 "확인된 취약점을 철저히 보완하고, 정보보호를 기업 경영의 최우선 순위로 두어야 한다"고 강조했다.