article_right_top
2025년 4월 발생한 SK텔레콤 침해사고의 충격적인 전말이 민관합동조사단을 통해 드러났다. 국내 1위 통신사의 유심정보 9.82GB(약 2,696만건)이 유출됐고, 공격자는 2021년부터 SK텔레콤 서버에 상주하며 단계적으로 침투, 무려 33종의 악성코드를 심은 사실이 확인됐다. 과학기술정보통신부(장관 유상임, 이하 과기정통부)는 7월 4일 조사 결과를 발표하며, 침해사고의 원인이 SK텔레콤의 중대한 과실에 있었다고 공식 결론 내렸다. 더불어, SK텔레콤 약관에 따라 이용자는 위약금 없이 계약을 해지할 수 있다는 유권 해석도 함께 내놓았다.
공격자는 2021년 8월 6일, 인터넷과 연결된 시스템 관리망 내 서버A에 악성코드(CrossC2)를 설치하면서 침투를 시작했다. 당시 해당 서버에는 다른 내부 시스템 접속용 계정정보(ID/PW)가 평문으로 저장돼 있었고, 이를 통해 코어망의 음성통화인증 서버(HSS)까지 접근한 뒤 추가 악성코드를 삽입했다. 이후 2022년 6월 고객 관리망으로 이동하며 공격 거점을 확대했고, 2025년 4월 18일, 내부 음성통화인증 서버 3대에서 유심정보를 외부로 전송했다. 공격은 총 28대의 서버를 감염시키는 등 대규모로 진행되었고, 그 과정에서 BPFDoor, 웹쉘, 타이니쉘 등 33종의 악성코드가 발견됐다.
조사 결과 SK텔레콤은 ▲과거 해킹 징후를 인지하고도 신고하지 않았고, ▲계정정보를 평문으로 저장했으며, ▲주요 정보에 암호화조치 없이 보관해 온 것으로 드러났다. 또한 자료보전 명령을 어기고 서버 2대를 임의조치, 포렌식 불가 상태로 조사단에 제출했다. 과기정통부는 이를 정보통신망법 위반으로 보고 과태료 부과 및 수사의뢰 방침을 밝혔다. 유심정보에는 가입자 식별번호(IMSI) 등이 포함되어 있으며, 이는 유심 복제에 사용될 수 있다. 복제된 유심은 제3자가 피해자의 통화, 문자, 인증 등을 완전히 가로채는 수단으로 악용될 수 있다. SK텔레콤은 부정사용방지시스템(FDS)과 유심보호서비스를 운영 중이었으나, 당시 유심보호서비스에는 5만명만 가입해 있었고, FDS 1.0 또한 모든 복제 가능성을 차단할 수 없는 수준이었다.
이번 침해사고가 발생한 후, 이용자가 SK텔레콤과의 약정 해지 시 위약금 면제가 가능한가에 대한 논란이 커졌다. 과기정통부는 이 사안에 대해 9개 법률자문기관의 검토를 거쳐, 다수의견(4곳)이 “과실이 인정되고 계약상 주된 의무인 안전한 통신 제공을 위반했다”는 판단을 내렸다고 밝혔다. 이에 따라 SK텔레콤 약관 제43조의 ‘회사 귀책사유’에 해당, 위약금 면제 적용 가능성이 확인됐다. 과기정통부는 이번 사고를 계기로 민간 정보보호 체계 전반의 개편을 예고했다. 특히 통신망을 기반으로 작동하는 AI 시대의 사이버보안 체계가 미흡할 경우, 향후 더 큰 피해로 이어질 수 있다는 점에서, 통신사 대상 제도개선, 법제도 정비, 전담 TF 운영을 추진하기로 했다.
유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 기반 전반의 정보보호에 경종을 울리는 사고였다.”면서, “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말하였다. 이와 함께, “다가올 인공지능 시대에는 사이버위협이 인공지능과 결합하여 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편하여 안전하고 신뢰받는 인공지능 강국으로 도약할 수 있도록 지원하겠다.” 고 밝혔다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
