SK텔레콤 침해사고, 정부 “회사 과실 명백”…유심정보 2696만건 유출

SK텔레콤 침해사고, 정부 “회사 과실 명백”…유심정보 2696만건 유출 - 이용자 위약금 면제…정부 “안전한 통신서비스 제공 의무 위반” 판단

장민철 기자

과학기술정보통신부가 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사 결과를 4일 발표하고, 유심(USIM) 정보 2696만건이 유출된 것으로 확인됐다고 밝혔다.

과학기술정보통신부가 SK텔레콤 침해사고 민관합동조사단 조사 결과, 유심정보 2696만건이 유출됐으며 SK텔레콤의 계정정보 관리 부실 등 과실이 확인돼 이용약관상 위약금 면제 규정이 적용된다고 4일 발표했다.

정부는 SK텔레콤의 계정정보 관리 부실 등 명백한 과실이 드러난 만큼, 이용약관상 위약금 면제 규정이 적용된다고 밝혔다.

조사단은 이번 사고의 심각성을 고려해 SK텔레콤 전체 서버 4만2605대를 대상으로 강도 높은 조사를 실시했다. 이 과정에서 총 28대의 서버가 악성코드에 감염된 사실이 드러났으며, 이 중 BPFDoor 계열 27종을 포함한 악성코드 33종이 확인됐다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심 관련 항목 25종이며, 총 용량은 9.82GB에 달한다. 가입자 식별번호 기준으로는 약 2696만건 규모다.

사고 원인 분석 결과, 공격자는 2021년 8월 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속해 악성코드를 설치한 후 단계적으로 침투 범위를 확대했다.

조사 결과에 따르면 공격자는 2021년 8월 외부와 연결된 시스템 관리망 내 서버에 침투해 악성코드를 설치했고, 이후 내부 계정정보를 통해 다른 서버로 접근하며 감염 범위를 확대했다.

특히 2021년 12월에는 음성통화 인증(HSS) 관리서버에 BPFDoor 악성코드를 설치한 후, 2025년 4월 18일 유심정보를 외부로 유출했다.

SK텔레콤은 같은 날 오후 11시 20분경 이상 징후를 인지했고, 4월 20일 오후 4시 46분에 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 그러나 법적 신고 기한인 24시간을 초과해 지연 신고한 것으로 나타났다.

민관합동조사단은 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 SK텔레콤 정보보호 체계의 세 가지 핵심 문제점을 지적했다.

특히 서버 로그인 ID와 비밀번호가 다른 서버에 평문으로 저장돼 있었으며, 공격자는 이를 활용해 광범위한 서버 감염을 일으켰다.

2022년 2월 SK텔레콤이 이미 일부 서버의 악성코드 감염 사실을 인지했음에도, 이를 당국에 신고하지 않은 사실도 드러났다.

당시에도 음성통화 인증 관리서버에 비정상적인 로그인 시도가 있었으나, 로그 6개 중 1개만 확인해 공격자의 활동을 파악하지 못했다.

또한, 유심 인증키(Ki)와 같은 중요 정보가 암호화되지 않은 채 저장돼 있었던 점도 큰 문제로 지적됐다. 국제이동통신사업자협회(GSMA)의 암호화 권고 및 KT·LG유플러스 등 경쟁사의 암호화 조치와 비교해 보안 수준이 현저히 낮았다.

정보통신망법 위반사항도 다수 발견됐다. SK텔레콤은 침해사고 인지 후 24시간 이내에 신고하지 않았고, 감염 서버를 발견하고도 별도 신고하지 않았다.

아울러 과기정통부의 자료보전 명령을 위반하고, 분석이 불가능한 상태로 서버 2대를 임의 조치했다.

조사단은 정보보호 조직 구성에도 한계를 지적했다. SK텔레콤은 정보기술(IT)과 네트워크 영역을 분리 운영하고 있으며, 정보보호최고책임자(CISO)는 정보통신 영역만 담당해 전체 정보보호 정책을 총괄하지 못했다.

2024년 기준, SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37.9억 원으로, 다른 통신사 평균 대비 낮은 수준으로 나타났다.

과기정통부는 SK텔레콤이 계약상 통신서비스의 안전 제공 의무를 위반한 것으로 판단, 이용자의 위약금 면제가 가능하다고 결론지었다.

유출된 유심정보는 제3자가 유심 복제를 통해 통신서비스를 이용하거나, 이용자의 전화·문자 내용을 가로챌 수 있는 위험한 상황을 초래할 수 있기 때문이다.

정부는 SK텔레콤에 대해 7월 중 재발방지 대책 이행계획을 제출토록 하고, 8~10월 중 점검을 실시할 예정이다. 점검 결과 보완이 필요한 경우, 정보통신망법에 따른 시정조치를 명령할 방침이다.

유상범 과기정통부 장관은 “이번 침해사고는 국내 통신 산업뿐 아니라 전체 네트워크 기반 정보보호에 경각심을 주는 사건”이라며, “SK텔레콤은 국내 최대 이동통신사로서, 확인된 취약점을 철저히 개선하고 정보보호를 경영의 최우선 순위에 둘 필요가 있다”고 강조했다.

[경제엔미디어=장민철 기자]

확대이미지 영역