과기정통부, 4일 해킹사고 최종 조사결과 발표
SKT 귀책사유 인정···자료 보전 명령 위반 관련 수사 의뢰 계획도
[시사저널e=김용수 기자] 정부가 대규모 가입자 유심 해킹 사고를 낸 SK텔레콤에 대해 계약을 해지하는 이용자들에게 위약금을 면제해야 한다는 조사 결과를 내놨다. 복수의 법률 자문기관을 통해 법률 자문을 거쳐 SK텔레콤의 유심 정보 유출은 ‘안전한 통신서비스 제공’이란 계약의 주요 의무를 위반했다고 판단해 회사의 귀책사유를 인정한 것이다.
또 정부는 SK텔레콤이 침해사고 신고 지연, 자료보전 명령 위반 등 정보통신망법상 의무도 위반했다고 밝혔다. 이에 신고 지연에 대해선 과태료를 부과하고, 자료보전 명령 위반에 대해선 수사를 의뢰할 방침이다.
4일 과학기술정보통신부(과기정통부)는 서울 종로구 정부서울청사에서 브리핑을 열고 이같은 내용의 SK텔레콤 침해 사고 민관합동조사단(조사단)의 조사 결과 및 SK텔레콤의 이용약관상 위약금 면제 규정에 대한 검토결과를 발표했다.
◇ 정부, SKT의 약관상 ‘귀책사유’ 인정
과기정통부는 조사 결과 SK텔레콤이 유심 정보 보호를 위한 주의 의무를 다하지 못했을 뿐만 아니라, 안전한 통신서비스를 제공할 의무를 다하지 못했다고 봤다. 이에 따라 '회사의 귀책사유로 인해 해지할 경우 위약금 납부 의무가 면제된다'는 SK텔레콤 이용 약관상 위약금 면제 규정 적용이 가능하다고 밝혔다.
과기정통부는 조사단의 조사가 마무리되는 시점에 5개 기관의 조사 결과를 바탕으로 한 법률 자문을 진행한 결과 4개 기관이 이번 사고를 SK텔레콤의 과실로 판단했으며 유심 정보 유출이 계약상 주요 의무 위반에 해당한다고 결론냈다고 설명했다. 과기정통부는 위약금 면제에 대한 이번 판단이 SK텔레콤 약관과 해당 사고에 한정된 것이라고도 강조했다.
과기정통부의 '위약금 면제 가능' 해석으로 SK텔레콤 약정 기간 안에 KT나 LG유플러스, 알뜰폰 등으로 번호이동을 하는 경우 SK텔레콤에 지불해야 하는 위약금은 사라진다. 앞으로 이동하는 가입자는 물론 사고 이후 이미 타 통신사로 번호이동을 한 경우에도 위약금 면제가 적용될 것으로 보인다.
류제명 과기정통부 제2차관은 “위약금에 따른 여러 사항이 있어서 아마 구체적인 개별 환경이나 조건을 정부가 일률적으로 판단해 정리할 순 없을 것”이라며 “SK텔레콤이 위약금 수용하는 것으로 발표한다면 소비자가 혼란을 겪지 않도록 구체적인 기준이나 절차를 제시하지 않을까 싶다”고 밝혔다.
과기정통부는 SK텔레콤이 위약금 면제 등을 이행하지 않을 경우 법령에 따라 ‘사업 등록 취소’란 초강수까지 둘 전망이다.
류 차관은 “정부 방침에 반대되는 입장을 표명하면 전기통신사업법상 절차대로 시정명령을 요구하고, 시정명령이 이행되지 않으면 관련 행정조치와 전기통신사업법상 조치를 하게 될 것이다. 전기통신사업법에 등록 취소 관련 조항이 있다. 가정에 따라 하는 말”이라며 “위약금 면제 소급적용에 대해선 지난 4월 18일 유출된 건에 해당하는 고객 모두를 대상으로 해야 한단 판단이다. 침해사고로 유출된 이후 그로 인해 번호이동한 가입자에 대해선 당연히 위약금에 대한 환불이 이뤄져야 한다”고 강조했다.
◇ 늦장신고에 과태료 부과···자료보전 명령 위반에 수사 의뢰 예정
아울러 정부는 SK텔레콤에 침해사고 신고 지연 및 미신고로 정보통신망법을 위반한 행위에 대해 3000만원 이하의 과태료를 부과할 예정이다. SK텔레콤이 자료 보전 명령을 위반해 포렌식 분석이 불가능한 상태로 서버 2대를 제출한 것에 대해 수사기관에 수사를 의뢰할 계획이다.
조사단은 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과 최고정보보호책임자(CISO)가 정보보호 관련 업무 총괄이 아닌 IT 영역(업무망, 고객관리망 등)만 담당하고 있는 사실도 확인했다.
이에 EDR, 백신 등 보안 솔루션 도입 확대, 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 추약점 정기 점검 및 제거 등 보안 관리를 강화하는 한편, 협력업체 공급 SW 등 외부 조직 및 서비스로부터 발생하는 위협에 대해 보호대책을 마련해 이행하는 등 공급망 보안체계를 구축해야 한다고 강조했다. 또 CISO가 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 CEO 직속 조직으로 강화해야 한다고 덧붙였다.
아울러 전체 자산 종류, 규모, 유휴·폐기 여부 등이 체계적으로 관리되고 있지 않음을 확인하고, 전사 자산을 담당하는 정보기술최고책임자(CIO)를 신설하고, IT 자산관리 솔루션을 도입하라고 주문했다. 정보보호 강화에 필요한 인력 및 예산 규모를 KT와 LG유플러스 이상의 수준(가입자당 기준)으로 확대할 것도 촉구했다.
과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 이달 중 제출토록 하고 SK텔레콤의 이행(8~10월) 여부를 점검(11~12월)할 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법에 따라 시정조치를 명령할 계획이다. 또한 과기정통부는 AI 시대 국가 사이버보안 역량을 강화하지 않으면 큰 피해가 우려되는 상황에서 SK텔레콤 침해사고를 계기로 민간 분야 정보보호 전반의 체계를 개편할 계기가 됐다고 판단했다.
이에 국민, 산업에 미치는 영향이 큰 통신망을 안전하게 보호하기 위한 별도의 법제도 방안, 민간 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안 등을 국회 과학기술정보방송통신위원회 내 SK텔레콤 해킹사고 관련 TF와 논의를 거쳐 마련할 계획이다.