지난달 24일 서울의 한 SKT 매장의 모습. 연합뉴스

[서울경제]

SK텔레콤(017670)이 해킹 사고를 이유로 떠나는 가입자에게 위약금을 면제해줄 의무가 있다는 정부 공식 판단이 나왔다. SK텔레콤이 서버를 허술하게 관리하며 해킹 공격을 제대로 막지 못해 결국 다수 가입자에게 피해를 끼친 책임이 인정된다는 것이다. 정부가 이처럼 노골적으로 압박 수위를 높이면서 SK텔레콤도 조(兆) 단위에 달하는 피해 보상 검토에 본격적으로 나설 것으로 보인다.

과학기술정보통신부는 4일 서울 종로구 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단 조사결과 발표 브리핑을 통해 “SK텔레콤은 유심(USIM) 보호를 위한 주의 의무를 다하지 않아 이번 침해사고에 과실이 있고 이용자에게 안전한 통신 서비스를 제공해야 할 사업자 의무를 다하지 못한 것으로 판단한다”며 “위약금 면제 규정이 적용 가능하다고 판단한다”고 밝혔다.

과기정통부가 위약금 면제 여부 등 SK텔레콤 과실을 판단하기 위해 4월 22일 관련 조사를 시작한 지 74일 만에 나온 결론이다. 유심 정보 유출에 불안을 느껴 다른 통신사로 이탈한 SK텔레콤 가입자가 지난 두달 간 65만 명에 이르는 가운데 피해자인 이들이 수십만 원에 달하는 해지 위약금까지 내는 것은 부당하다는 주장이 정치권을 중심으로 제기돼왔다. 이에 정부가 해킹 경위를 조사하고 법률 자문기관 4곳을 통해 검토해본 결과 SK텔레콤 이용약관상 위약금 면제 사유인 ‘회사의 귀책’이 확인된다는 판단을 내린 것이다.

정부는 4만 2605대에 달하는 서버를 전수 조사한 결과 SK텔레콤 측 관리 책임이 크다고 봤다. 해킹 경위를 보면 해커는 2021년 8월 6일 외부 인터넷과 연결된 SK텔레콤 서버 하나에 원격제어·백도어(우회 접근) 기능이 있는 악성코드를 설치했다. 이 서버는 다른 서버들로 접근할 수 있는 계정과 비밀번호가 담겨 있었다. 비밀번호는 암호화하지 않은 평문으로 저장돼 있었기 때문에 해커가 쉽게 탈취할 수 있었다.

해커는 알아낸 비밀번호를 통해 같은 해 12월 24일 2300만 가입자 유심 정보가 든 핵심서버 ‘홈가입자서버(HSS)’에 BPF도어 악성코드를 설치했다. 중국 해커들이 즐겨쓰는 BPF도어는 보안 탐지 시스템에 잘 들키지 않는 은닉성이 강해 오랫동안 서버에 잠입해 9.82GB에 달하는 유심 정보 25종을 빼돌릴 수 있었다. 이후 악성코드 감염이 확산돼 총 28대 서버에서 BPF도어 27종을 포함한 33종이 확인됐다. 이 중에는 특히 통신 시간과 수발신자 번호 등 민감한 통신 활동 데이터를 담은 ‘통신기록(CDR) 서버’도 포함된 것으로 확인됐다. 다만 실제 통화기록 유출은 확인되지 않았다.

정부는 “유심정보 유출은 다른 보호조치가 없다면 제3자가 유심 복제를 통해 이용자의 전화번호로 통신서비스를 이용하거나 이용자에게 걸려온 전화․문자를 제3자가 가로챌 수 있는 위험한 상황을 초래할 수 있다”고 강조하며 ‘안전한 통신서비스 제공’이라는 계약상 의무를 SK텔레콤이 먼저 위반한 것으로 판단했다. 또 SK텔레콤이 다른 통신사와 달리 민감한 정보를 제대로 암호화하지 않고 해킹 정황을 늦게 신고하는 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’을 위반한 것으로도 나타났다.

정부는 비밀번호 등 민감한 정보를 암호화하고 서버 접속 시 다중인증과 제로트러스트 체계를 도입하며 백신 같은 보안 솔루션 도입을 확대해야 한다는 시정조치를 내렸다. 또 SK텔레콤이 분기별로 1회 이상 보안 취약점을 점검하고 최고정보보안책임자(CISO) 조직을 최고경영자(CEO) 직속으로 편제해 역할을 강화하도록 했다. 최고정보기술책임자(CIO) 신설, 방화벽 로그기록 6개월 이상 보관, 정보보호 투자 확대도 요구됐다. 정부는 동시에 SK텔레콤의 해킹 신고 지연에 대해 정보통신망법에 따라 3000만원 이하 과태료를 부과하고 정부 조사를 위한 자료 보전 명령을 제대로 따르지 않은 일에 대해서도 수사기관에 수사를 의뢰할 예정이다.

이에 SK텔레콤도 가입자와 유통망에 대한 피해 보상안 마련을 서두를 방침이다. 다만 위약금 면제를 두고는 여전히 법리 해석에 이견이 있는 데다 연간 영업이익과 맞먹는 조 단위의 재무적 부담을 떠안아야 해 SK텔레콤이 쉽사리 정부 요구에 응하지는 못할 것으로 보인다. 유영상 SK텔레콤 대표는 앞서 국회 청문회에 출석해 “(위약금 면제가 현실화할 경우) 한 달 기준 최대 500만 명까지 이탈할 수 있다고 생각한다”며 “그럴 경우 위약금과 매출까지 고려하면 3년간 7조원 이상의 손실이 예상된다”고 밝힌 바 있다.

법리적으로는 정부 판단과 달리 유출된 유심 정보가 실제로 악용돼 명의도용이 발생하는 등 실질적인 피해 사례가 확인되지 않은 상황에서 단지 해커를 막지 못한 책임만으로 위약금 면제 사유인 ‘회사의 귀책’을 인정할 수 없다는 지적이 있다. 구태언 법무법인 린 테크그룹 총괄 변호사는 “이번 조사결과는 대법원 확정 판결이 아니고 행정소송 여지가 있는 잠정적 판단”이라며 “법적으로는 (위약금 면제 판단을 위한) 조사결과가 확정됐다고 보기는 어렵다”고 말했다. 그는 “인터넷과 연결된 시스템은 당연히 (보안이) 완벽하지 않기 때문에 (막을 수 없는) 신종 해킹 기술이 동원됐다면 기업 책임은 없다”며 “대기업이라면 당연히 취해야 할 조치를 취하지 않았는지 여부가 (판단의) 관거”이라고 설명했다.

이에 SK텔레콤 측 과실을 따지는 기준이 여전히 모호해 향후 추가적인 법적 판단이 필요하다는 반응도 나온다. 홍대식 서강대 법학전문대학원 교수는 “가입자 입장에서는 단순 변심이 아니라 해킹 관련 불안감을 만들었다는 사업자 책임 때문에 해지하려는 것인데 위약금을 부과하는 것은 법적으로 문제가 있다고 볼 수 있다”며 “문제는 그 정도를 (위약금 면제 수준의) 사업자 책임으로 볼 수 있는지에 대해서는 법적인 다툼은 있다”고 말했다. 과기정통부의 법률 자문기관 4곳 중 1곳도 “현재 자료로 판단이 어렵다”며 보류 의견을 냈다.

서울경제

김윤수 기자([email protected])