SK텔레콤, 해킹 공격으로 유심 정보 유출... 24시간 내 해킹 보고 규정 위반

SK텔레콤이 해킹 공격을 인지한 시점이 당초 알려진 것보다 하루 빨랐고, 이 사실을 한국인터넷진흥원(KISA)에 24시간 이내에 신고해야 한다는 법적 의무도 지키지 않은 것으로 드러났다.

24일 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 SK텔레콤으로부터 제출받은 자료에 따르면, SK텔레콤은 지난 18일 오후 6시 9분쯤 사내 시스템에서 비정상적인 데이터 이동이 발생한 사실을 처음 인지했다. 이어 같은 날 오후 11시 20분 악성코드를 확인하고, 해킹 공격이 있었다고 내부 판단을 내렸다. 다음 날인 19일 새벽 1시 40분부터는 데이터 유출 여부에 대한 본격적인 분석에 착수했다. 이후 22시간이 지난 19일 밤 11시 40분께 유심 관련 정보 일부가 유출됐다는 정황을 확인했다.

그러나 SK텔레콤은 해킹 공격 사실을 KISA에 지난 20일 오후 4시 46분에 보고한 것으로 나타났다. 최초 인지 시점인 18일 오후 6시로부터는 45시간이 지난 시점이다. 해킹 공격으로 판단한 18일 밤 11시 20분을 기준으로 잡더라도, 법에 명시된 24시간을 초과했다.

현행 정보통신망법은 정보통신서비스 제공자가 침해 사고를 인지한 경우 24시간 이내에 사고 발생 시점, 원인, 피해 내용을 과학기술정보통신부 장관 또는 KISA에 신고하도록 규정하고 있다. KISA는 최 의원실을 통해 SK텔레콤이 이 법을 위반한 것이 맞다고 밝혔다.

이에 대해 SK텔레콤은 고의적인 지연은 아니라는 입장이다. SK텔레콤 측은 “사안의 중대성을 고려해 사이버 침해 사고 신고에 필요한 원인과 피해 범위를 더 명확히 파악하던 중 신고가 늦어진 것”이라며 해명했다.

한편, SK텔레콤은 유출된 유심 정보를 활용해 해커가 복제폰을 제작하고 금전적 피해를 유발할 가능성에 대비해 '유심 보호 서비스'를 운영 중이다. 그러나 이 서비스를 신청하지 않은 가입자들의 경우 보안상 취약한 상태인 것으로 나타났다. 특히 휴대전화 전원이 꺼져 있거나 비행기 모드일 경우 해커가 유심 정보를 통해 단말기 사용 권한을 탈취할 가능성이 있다는 설명이다. 반대로 유심 보호 서비스를 신청한 이용자는 이런 위험에서 벗어난다.

최수진 의원은 “SK텔레콤 해킹 사고로 소비자 불안이 커지고 있다”며 “국회 차원에서 피해 확산을 막고 재발 방지를 위한 대책을 마련하겠다”고 밝혔다.