SKT ‘해킹 피해 고객에 위약금 면제’ 수용

정부 “2021년부터 피해, 신고 안해”

유영상 SK텔레콤 대표이사가 4일 서울 중구 SKT타워에서 정부의 해킹 사태 관련 최종 조사결과 발표 관련 입장 및 향후 계획을 발표하고 있다. 2025.7.5/뉴스1

SK텔레콤에 대한 해커의 공격이 2021년부터 이뤄졌으며 SK텔레콤이 2022년 자체 조사로 침해 사실을 발견하고도 당국에 알리지 않아 사태를 키운 사실이 확인됐다. 정부는 SK텔레콤 측 과실을 확인하고 계약을 해지하는 이용자들에게 위약금을 면제해야 한다고 밝혔다. 이에 따라 SK텔레콤은 해킹 사고 이후 계약을 해지한 가입자들에게 위약금을 면제하겠다는 입장을 냈다.

과학기술정보통신부는 4일 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단 최종 조사 결과를 공개했다. 조사단은 이번 사고 책임은 SK텔레콤에 있고 이용자에게 안전한 통신서비스를 제공해야 할 사업자의 의무를 다하지 못했다면서 위약금 면제 규정을 적용해야 한다고 판단했다.

또 조사단은 SK텔레콤의 △계정 정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등 문제가 확인됐다고 밝혔다. 과기정통부는 SK텔레콤의 침해사고 신고 지연 및 미신고에 대해선 과태료를 부과하고, 자료보전 명령 위반에 대해선 수사기관에 수사를 의뢰할 방침이다.

SK텔레콤은 이날 긴급 기자회견을 열고 해킹 사고가 발생한 4월 19일 0시 이후 해지한 고객과 7월 14일까지 해지 예정인 고객의 위약금을 모두 면제한다고 밝혔다. 또 모든 가입자에게 8월 통신비 반값 할인 등 보상을 제공하기로 했다.

SKT “이달 14일까지 해지땐 위약금 면제… 8월 요금 50% 할인”

“해킹 사고에 5000억 상당 보상” 밝혀
민관합동조사단 “보안 조치 허술… 3년전 공격 발견하고도 안 알려”
SKT “정보보호 강화에도 7000억”
수조원대의 비용 부담 떠안아

SK텔레콤은 평소 보안 조치를 허술하게 하고 당국에 고지 의무를 다하지 않으면서 이번 해킹 사고를 키운 것으로 드러났다. 해커의 공격이 4년 전에 시작됐고 이듬해 이상 징후를 감지했지만 3년 동안 이를 당국에 알리지 않고 자체 대응하다 대규모 정보 유출로 이어진 것이다.

SK텔레콤은 당국의 권고를 수용해 해킹 사고 발생 이후 번호이동을 한 고객의 위약금을 모두 환급해주기로 했다.

● 해커 공격 4년 전 시작, SKT 3년간 당국 신고 안 해

해킹 사고 민관합동조사단은 이날 발표에서 SK텔레콤 서버 4만2605대에 대한 전수 조사 결과 서버 28대가 감염됐다고 밝혔다. 해커가 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 해커는 올해 4월 가입자식별번호(IMSI) 2696만 건, 총 9.82GB(기가바이트)에 달하는 개인정보를 외부로 빼돌렸다. 이는 가입자 전원의 유심 정보에 해당하는 분량이다.조사단에 따르면 최초 악성코드 설치는 4년 전인 2021년 8월이었다. SK텔레콤은 이듬해인 2022년 2월 특정 서버에서 비정상적인 재부팅을 발견하고 악성코드에 감염된 서버를 발견해 조치했지만 이를 당국에 신고하지 않았다. 이에 대해 유영상 SK텔레콤 대표는 “진정으로 잘못했고 반성한다. 재발방지책을 마련하겠다”고 했다.

또한 SK텔레콤은 시스템 관리망 내 서버 계정 패스워드를 장기간 변경하지 않았다. 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보도 암호체가 아닌 평문으로 저장해 공격의 빌미를 줬다.

정부가 사고 원인 분석을 위한 자료 보전을 명령했으나, SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 사실도 드러났다. 이 같은 법 위반 혐의에 대해 정부는 수사기관에 수사를 의뢰할 방침이다.

다만 조사단은 이번 사고에서 복제폰으로 인한 2차 피해 우려는 하지 않아도 된다는 입장이다. 류제명 과학기술정보통신부 2차관은 “(사고) 고의성이나 SK텔레콤의 범죄적 측면이 있었는지는 경찰 수사를 통해 밝혀질 것”이라고 말했다.

● SKT, “위약금 면제하고 전 가입자 요금 반값 할인”

이날 SK텔레콤은 긴급 기자회견을 열고 다른 이동통신사로 갈아탄 가입자들을 위한 위약금 면제 입장을 밝혔다. 침해사고 이후(4월 19일 0시 기준)부터 해지한 고객 및 7월 14일까지 해지 예정인 고객을 대상으로 위약금을 모두 면제한다는 것이다.

위약금은 약정 기간 내 계약을 중도 해지할 경우 제공 받은 할인 혜택의 전부 혹은 일부를 반환하는 금액이다. 위약금 면제는 기납부한 위약금을 신청하면 환급하는 형태로 진행된다.

추가 보상안도 발표했다. 7월 15일 기준 고객 및 SK텔레콤 망을 사용하는 알뜰폰 고객을 포함한 약 2400만 명에게 △8월 통신 요금 50% 할인 △연말까지 매월 50GB 데이터 추가 제공 △멤버십 할인 대폭 확대 등 총 5000억 원 규모의 보상을 제공한다. 정보보호 수준 강화를 위해 향후 5년간 7000억 원을 투자하는 방안도 발표했다.

이 같은 후속 조치에 따라 SK텔레콤은 수조 원대의 비용 부담을 안게 됐다. 유영상 SK텔레콤 대표는 최근 국회에서 “위약금 면제 시 3년간 최대 7조 원의 손실이 예상된다”고 언급한 바 있다.

SK텔레콤은 이날 해킹 사태에 따른 고객 보상과 가입자 이탈 등 시장 상황을 반영해 올해 매출액 전망을 17조8000억 원에서 17조 원으로 8000억 원 하향 조정했다고 공시했다.

장은지 기자 jej@donga.com
김하경 기자 whatsup@donga.com

© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지