안녕하십니까? 과학기술정보통신부 2차관 류제명입니다.

지금부터 SK텔레콤 침해사고에 대한 최종조사 결과를 말씀드리겠습니다.

정부는 이번 SK텔레콤 침해사고가 많은 국민께 불편과 불안을 초래한 만큼 엄정하고 철저한 조사와 투명한 공개를 원칙으로 지난 두 달간 민관합동조사단을 운영하였습니다.

한편, 국회 과학기술정보방송통신위원회에서도 T/F를 운영하여 정부의 민관합동조사단의 조사 상황을 지속 점검해 왔습니다.

먼저, SK텔레콤 침해사고 원인분석 및 재발방지 대책을 말씀드리겠습니다.

지난 4월 18일 23시 20분 SK텔레콤은 침해사고를 인지하고 한국인터넷진흥원에 4월 20일 16시 46분 침해사고를 신고하였습니다.

이는 사고인지 시점부터 24시간 이내에 신고를 해야 하는 정보통신망법을 위반한 것으로 3,000만 원 이하 과태료 부과 대상입니다.

과기정통부는 SK텔레콤의 유심정보 유출을 중대한 사이버 침해사고로 판단하고 4월 23일 민관합동조사단을 구성하여 피해현황, 사고원인 등을 조사하였습니다.

먼저, 조사 방식에 대해 말씀드리겠습니다.

조사단은 이번 SK텔레콤 침해사고가 국내 1위 이동통신사의 침해사고인 점, 유심정보 유출로 인한 휴대폰 부정 사용 등 국민 우려가 커진 점, 공격 악성코드인 BPFDoor의 은닉성 등을 고려하여 SK텔레콤 전체 서버 4만 2,605대를 대상으로 총 6차례에 걸쳐 BPFDoor 및 타 악성코드 감염 여부에 대해 4월 23일부터 6월 27일까지 강도 높은 조사를 진행하였습니다.

또한, 조사 과정에서 확인된 감염서버는 포렌식 등 정밀 분석을 통해 정보유출 등 피해 발생 여부를 파악하였습니다.

다음으로, 감염서버 및 정보유출 규모에 대해 말씀드리겠습니다.

조사단은 이번 침해사고로 공격을 받은 총 28대의 서버에 대한 포렌식 분석 결과, BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, CrossC2 1종, 슬리버 1종 등 악성코드 33종을 확인하였습니다.

확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간 및 공공기관에 공유하였으며, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포하였습니다.

또한, 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며, 확인된 유출 규모는 9.82GB, IMSI 기준 약 2,696만 건이었습니다.

한편, 조사단은 감염서버 중 단말기식별번호(IMEI), 이름, 전화번호 등 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견하였으나, 정밀 분석 결과 방화벽 로그 기록이 남아 있는 기간에는 자료 유출 정황이 없는 것을 확인하였습니다.

다만, 악성코드가 감염된 시점부터 방화벽 기록이 남아있지 않은 기간에는 정보유출 여부를 확인할 수 없었습니다.

다음으로, 사고 원인에 대해 말씀드리겠습니다.

화면에서 보시는 바와 같이 공격자의 행위를 초기 침투, 추가 거점 확보, 정보유출 3단계로 구분할 수 있었습니다.

먼저, 초기 침투 단계에서 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버 A에 접속한 후 2021년 8월 6일 타 서버에 침투하기 위해 원격제어 등의 기능이 포함된 CrossC2라는 악성코드를 설치하였습니다.

당시 서버 A에는 시스템 관리망 내 서버들의 계정 ID, 비밀번호 등이 평문으로 저장되어 있었으며 공격자는 동 계정정보를 활용해 시스템 관리망 내 서버 B에 접속한 것으로 추정됩니다.

조사단은 추정의 근거로 서버 A에 평문으로 저장된 ID, 비밀번호를 활용해 서버 B에 접속한 로그기록은 남아 있지 않으나 시스템 관리망 내 타 서버에 접속한 기록은 남아 있어 서버 B에도 같은 방식으로 접속이 가능하다고 판단하였습니다.

또한, 당시 서버 B에는 코어망 내 음성통화인증(HSS) 관리서버의 계정정보가 평문으로 저장되어 있었으며, 공격자는 동 계정정보를 활용하여 2021년 12월 24일 음성통화인증(HSS) 관리서버에 접속 후 동 서버 및 음성통화인증 서버에 BPFDoor를 설치하였습니다.

둘째, 추가 거점 확보 단계에서 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며 2022년 6월 15일, 6월 22일에 웹쉘, BPFDoor를 설치하였습니다.

조사단은 추정의 근거로 공격자가 시스템 관리망과 고객 관리망 간 통신을 했던 기록을 바탕으로 공격자가 시스템 관리망 내 감염서버에서 고객 관리망으로 접속이 가능하다고 판단하였습니다.

마지막으로, 정보유출 단계입니다.

공격자는 초기 침투 과정에서 확보한 계정정보를 활용하여 시스템 관리망 내 여러 서버에 2023년 11월 30일부터 2025년 4월 21일까지 악성코드를 설치하였습니다.

이후 공격자는 2025년 4월 18일 음성통화 인증 서버 3개 서버에 저장된 유심정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출하였습니다.

사고 원인과 더불어 조사단은 조사 과정에서 SK텔레콤의 정보보호체계의 여러 문제점을 발견하고 재발방지 대책을 요구할 것입니다.

먼저, 악성코드가 감염된 경위 및 침해사고 대처 등과 관련하여 SK텔레콤은 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등의 문제점이 있었습니다.

첫째, SK텔레콤은 정보보호관리체계 ISMS 인증기준에 따라서 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하였으나 이번 사고에서 감염이 확인된 음성통화인증 관리서버 계정정보를 타 서버에 평문으로 저장하였습니다.

조사단은 공격자가 이처럼 암호화되지 않은 계정정보를 활용하여 음성통화인증 관리서버 및 음성통화인증 서버 HSS를 감염시킨 것을 확인하였습니다.

둘째, SK텔레콤은 과거 침해사고에 대한 대응이 미흡하였습니다.

조사단은 조사 과정에서 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생한 사실을 확인하고 당시 해당 서버 및 연계된 서버들을 점검한 것을 발견할 수 있었습니다, 확인하였습니다.

그 과정에서 SK텔레콤은 악성코드에 감염된 서버를 발견하여 조치하였으나 정보통신망법에 따른 신고 의무를 이행하지는 않았습니다. 이는 당시 정보통신망법상 침해사고가 발생하면 즉시 신고토록 한 규정을 위반한 것으로 이 또한 3,000만 원 이하 과태료 부과 대상입니다.

또한, 당시 점검 과정에서 SK텔레콤은 2021년 12월 24일, 12월 30일에 기감염되어 있었던 음성통화인증 관리서버에 비정상 로그인 시도가 있었던 정황도 발견하여 로그기록을 자체적으로 확인한 바 있습니다.

그러나 해당 서버에 대한 로그기록 6개 중 1개만 확인함으로써 공격자가 서버에 접속한 기록을 확인하지 못하였습니다. 만약 SK텔레콤이 당시 나머지 5개의 로그기록도 점검하였다면 그 당시 이미 BPFDoor 악성코드에 감염되어 있었던 음성통화인증 관리서버에 공격자가 접속한 것을 확인할 수 있었을 것입니다.

결국 SK텔레콤은 음성통화인증(HSS) 관리서버와 정보 유출이 발생한 음성통화인증 서버에서 BPFDoor 악성코드를 확인하지 못하였으며, 침해사고를 당국에 신고하지 않아 정부가 조사를 통해 동 악성코드를 발견하여 당시 조치할 수 있었던 것도 이루어질 수 없게 하였습니다.

셋째, SK텔레콤은 주요 정보와 정보 암호화 조치에도 미흡하였습니다.

유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값을 암호화하지 않고 저장하였습니다.

반면 세계이동통신사업자협회(GSMA)는 암호화를 권고하고 있으며, 타 통신사인 나머지 2개의 통신사들도 유심 인증키를 암호화하여 저장하고 있었습니다.

이에 대한 재발방지 대책으로 먼저 SK텔레콤은 서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화하여 저장해야 합니다.

둘째, SK텔레콤은 침해사고 발생 시 법령에 따른 신고 의무를 준수하고 철저한 원인 분석을 통해 피해 확산 방지 노력을 이행하여야 합니다.

셋째, SK텔레콤은 관계법령 및 국제 권고에 따라 주요 정보를 암호화하여 저장해야 합니다.

다음으로, SK텔레콤의 정보통신망법 등 법령 위반 사항에 대해 말씀드리겠습니다.

먼저, SK텔레콤은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 당국에 신고를 했어야 합니다.

그러나 이번 침해사고 시 SK텔레콤은 사고를 인지하고 24시간이 지난 후 침해사고를 신고하였습니다.

또한, 2022년 2월에는 악성코드 타이니쉘 2종에 감염된 서버를 발견하고도 침해사고를 신고하지 않았습니다.

이에 과기정통부는 정보통신망법에 따라 각각 3,000만 원 이하 과태료를 부과할 계획입니다.

또한, 과기정통부는 정보통신망법 제48조의4에 따라 사고 원인 분석을 위해 자료보전 명령을 사업자에게 하였습니다. 그러나 사업자는 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 후 조사단에 제출하였습니다.

과기정통부는 자료보전 명령 위반과 관련하여 수사기관에 수사를 의뢰할 예정입니다.

또한, 조사단은 침해사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡하였으며, SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않은 사실도 확인하였습니다.

첫째, SK텔레콤은 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하고 있으나 쉽게 탐지가 가능한 웹쉘은 점검항목에도 포함하지 않아 이를 발견하지 못하였습니다.

또한, 사업자는 전화번호의 마스킹 규칙이 담긴 정보를 CDR이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안 관리도 미흡하였습니다.

둘째, SK텔레콤은 협력업체로부터 공급받은 소프트웨어를 면밀히 점검하지 않고 내부 서버 88대에 설치하여 해당 소프트웨어에 탑재되어 있었던 악성코드가 SK텔레콤 서버에 유입되었습니다.

조사단이 확인한 결과 해당 악성코드는 이번 침해사고와는 연관성이 없었으며, 유입된 악성코드가 실행된 흔적도 발견하지 못하였습니다.

셋째, SK텔레콤은 정보통신망법 제45조의3 등에 따라 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄하여야 하나 전체 자산의 57%에 대하여서만 보안을 담당하고 있었습니다.

이에 대한 재발방지 대책으로 첫째, SK텔레콤은 분기 1회, 분기별 1회 정기점검, 보안 솔루션 도입 확대 등 보안관리를 강화해야 합니다. 둘째, 공급망 보완체계를 구축해야 합니다. 셋째, 전사 정보보호 정책을 총괄 관리할 수 있도록 정보보호 최고 책임자를 CEO 직속으로 강화해야 합니다.

이외에도 SK텔레콤은 자체 보안규정상 로그기록을 6개월 이상 보관해야 하나 방화벽 로그기록을 4개월만 보관한 점, 전체 자산 종류·규모 등을 체계적으로 관리하지 않은 점, 가입자 100만 명당 정보보호 인력 및 투자 규모가 타 통신사 평균 대비 낮은 점 등도 개선이 필요합니다.

이에 대한 재발방지 대책으로 첫째, 방화벽 로그를 6개월 이상 보관해야 합니다. 둘째, 전사 자산 담당 조직을 신설해야 합니다. 셋째, 타 통신사 이상의 수준으로 정보보호 인력을... 인력 및 투자 규모를 확대해야 합니다.

과기정통부는 7월까지 SK텔레콤에 재발방지 대책에 따른 이행계획을 제출하도록 할 예정입니다.

이후 SK텔레콤이 10월까지 이행한 결과를 연말까지 점검하고 이행점검 결과 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획입니다.

다음으로, SK텔레콤의 이용약관상 위약금 면제 규정과 관련한 과기정통부 검토 결과를 말씀드리겠습니다.

여기서 위약금은 SK텔레콤의 이용약관 제42조에 따라 가입기간을 약정한 고객이 약정을 중간에 해지할 경우 단말기 지원금, 이른바 보조금 또는 요금 할인 등 약정 시 받은 혜택을 반환하는 것으로, 단말기 할부금과는 별개임을 말씀드립니다.

과기정통부는 사고 초기, 4월 30일, 5월 2일에 이번 침해사고가 SK텔레콤 약관에 규정되어 있는 위약금 면제 사유에 해당하는지 등에 대해 법률 자문을 4개 기관으로부터 받았으며, 당시 법률자문기관들은 침해사고 조사 결과에서 SK텔레콤의 과실이 인정된다면 위약금 면제 규정이 적용 가능하다는 공통된 의견을 제시하였습니다. 다만, 당시에는 조사 결과에 대한 구체적인 정보가 없이 검토가 이루어진 한계가 있었습니다.

이후 과기정통부는 조사가 마무리되는 시점에 보다 정확한 판단을 위해 조사 결과를 바탕으로 추가적인 법률 검토를 5개 기관을 통해 진행하였습니다. 대부분의 법률자문기관들은 이번 침해사고를 SK텔레콤의 과실로 판단했고 유심정보 유출은 '안전한 통신서비스 제공'이라는 계약의 주요 의무 위반이므로 위약금 면제 규정의 적용이 가능하다는 의견을 제시하였습니다.

참고로 법률자문기관 중 1곳은 현재 자료로 판단이 어렵다고 판단을 유보하였습니다. 답신을 준 5개 법률자문기관 중 4곳의 의견은 공통적이었습니다.

과기정통부는 법률 자문 결과를 토대로 이번 침해사고가 SK텔레콤의 이용약관상 회사의 귀책사유에 해당하는지에 대해 첫 번째, 침해사고에서 SK텔레콤의 과실 여부, 두 번째, 이용자에게 통신서비스를 제공하는 데 있어 주된 의무를 위반하였는지 여부를 중점적으로 판단하였습니다.

첫째, 침해사고에서 SK텔레콤의 과실 여부에 대해 말씀드리겠습니다.

앞서 말씀드린 조사단의 조사 결과에 따르면 이번 사고가 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등의 문제점이 있었으며 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실이 확인되었습니다.

따라서 SK텔레콤은 안전한 통신서비스 제공을 위한 유심정보 보호와 관련하여 일반적으로 기대되는 사업자의 주의 의무를 다하지 않았을 뿐만 아니라 관련 법령이 정한 기준을 미준수하였으므로 SK텔레콤의 과실이 있는 것으로 판단하였습니다.

둘째, 통신서비스 제공에 있어 주된 의무 위반에 대해 말씀드리겠습니다.

정보통신망법상 통신사업자에게는 안전한 통신서비스를 제공할 의무가 있으며 일상생활 전반이 통신서비스를 기반으로 이루어지고 있는 점을 고려할 때 이용자는 사업자가 안전한 통신서비스 제공을 위한 적절한 보호 조치를 할 것으로 기대할 수 있습니다.

따라서 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소로 볼 수 있습니다. 이번 침해사고로 유출된 유심정보는 이동통신망에 접속하고 안전하고 신뢰할 수 있는 통신서비스를 위한 필수적 요소입니다.

또한, 유심정보 유출은 다른 보호 조치가 없다면 제3자가 유심 복제를 통해 이용자의 전화번호로 통신서비스를 이용하거나 이용자에게 걸려온 전화·문자를 제3자가 가로챌 수 있는 위험한 상황을 초래할 수 있습니다.

침해사고 당시 SK텔레콤은 유심보호서비스와 부정사용방지시스템 FDS 1.0을 운영하고 있었으나 유심보호서비스에는 당시 약 5만 명만 가입한 상태였으며 부정사용방지시스템은 유심정보 유출로 인한 모든 유심 복제로 인한 피해 가능성을 차단하는 데 한계가 있었던 상황이었습니다.

따라서 과기정통부는 SK텔레콤이 유심정보를 침해사고로부터 보호하여 안전한 통신서비스를 제공할 의무를 다하지 못한 것으로 판단하였습니다.

결론적으로 과기정통부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, 둘째, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 SK텔레콤 이용약관상 회사의 귀책사유에 해당한다고 판단하였습니다.

다만, 과기정통부의 판단은, 이번 과기정통부의 판단은 SK텔레콤의 유심정보가 유출된 금번 침해사고에 한정되며 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아님을 명확히 말씀드립니다.

과기정통부는 AI 시대 국가 사이버 보안 역량을 강화하지 않으면 큰 피해가 우려되는 상황에서 SK텔레콤 침해사고가 민간 분야 정보보호 전반의 체계를 개편할 계기가 되었다고 판단하였습니다.

이에 동 침해사고 직후 국회 과학기술정보방송통신위원회가 구성한 T/F와 정부는 국민 산업에 미치는 영향이 큰 통신망을 안전하게 보호하기 위한 별도의 법·제도 방안, 민간의 정보보호 투자 확대 및 정보보호 거버넌스 강화를 위한 제도 개선 방안 등을 지속 논의해 왔으며, 국회의 과방위와 정부가 긴밀히 협력하여 구체적인 방안을 조속히 마련할 계획입니다.

이상으로 SK텔레콤 침해사고에 대한 최종조사 결과 발표를 마치겠습니다. 추가로 설명이 필요한 부분은 질의응답을 통해 보다 상세히 설명드리도록 하겠습니다. 감사합니다.


<사회자>
이어서 현장에 계신 기자님들과 질의응답 시간을 갖도록 하겠습니다. 오늘 배석은 최우혁 정보보호네트워크정책관, 이도규 통신정책관, KISA 이동근 디지털대응본부장께서 같이 하십니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 원래 6월 30일에 국회에 보고하려고 했다가 일정이 미뤄져서 7월 4일로 된 걸로 알고 있는데 공교롭게 어제 이재명 대통령께서 '위약금 면제가 바람직하다.' 이런 말씀하신 걸로 알고 있는데 그럼 이게 SKT와 협의 과정에서 잘 안되다가 대통령이 한마디 해서 이게 갑자기 급류를 탄 건지, 원래 잘 방향이 위약금 면제 쪽으로 가고 있었는지, 보고 과정에서 그런 얘기가 나온 건지 그게 궁금합니다.

<답변> 6월 30일 국회 보고는 그동안 청문회 과정에서 과기정통부 장관과 차관께서 국회 그런 일정을 말씀드려서 저희도 약속드린 6월 30일에 모든 조사를 완료하고 이런 결과 발표를 같이 할 수 있기를, 있도록 최선을 다했습니다.

그런데 저희가 초반에 조사 방식과 관련된 말씀에서 전례 없이 강도 높은 조사와 반복되는 그런 광범위한 조사를 하는 과정에서 시간이 저희들이 예상한 것보다 상당히 지체된 측면이 있습니다. 그래서 실질적인 사고조사가 6월 27일에 완료됐습니다.

그래서 저희가 6월 27일에 조사 결과를 완료하고 또 위약금과 관련된 법률 검토까지 마치는 것은 그리고 또 30일에 보고하는 것은 물리적으로 어려운 점이 있어서 저희가 국회 T/F에 여러 가지 방안을 요청드렸고, 그리고 시기적으로도 짧은 시간에 사고 조사 결과를 월요일에 발표할 수 있다 하더라도 위약금과 관련된 바로 다음 또 발표가 있게 돼서 종합적으로 저희가 같은 날 보고를 할 수 있도록 양해를 해주십사 이렇게 국회 T/F와 논의를 거쳤고요.

지금 보시면 아시겠지만 오늘이 7월 4일이고 지난 월요일이 6월 30일이고 해서, 또 그 법률자문 결과를 저희가 7월 2일에 받았습니다. 그래서 저희는 타이트한 일정 속에서 이렇게 검토 결과를 가지고 정부 내부 방침을, 내부 입장을 지금까지 정했고요.

사업자의 결정은 저희들도 아직은 모르겠습니다. 이제 오늘 아침에 저희가 사업자에게 정부의 입장은 설명을 해줬습니다. 정부의 설명을 해줬고 오늘 브리핑이 예정돼 있었기 때문에, 제가 듣기로는 다양한 가능성에 대해서 다양한 자체적인 그런 방안들을 검토했다고 생... 이야기를 들었고요.

오늘 발표는 전혀 SK텔레콤과 협의나 이런 과정 없이 정부는 정부가 해온 법률검토 과정 또 안의 그런 의사결정 절차를 거쳐서 또박또박 왔다는 말씀을 드리겠습니다.

<질문> 일단은 이 위약금 면제 판단을 정부가 내리신 거고 여기 이행계획 점검도 하신다고 나와 있는데 그러면 SKT 입장에서 이거를 안 받아들이게 되면 혹시 행정지도라든가 그런 걸 검토하고 계신지가 궁금하고요. 그러니까 이 7월, 12월까지 진행하시는 이행점검 계획, 그 안에 이 위약금 면제 결정도 점검을 해서 시정명령을 내린다든가 이런 걸 검토하고 계신지가 궁금하고요.

또 한 가지, 이건 기술적인 내용인데 그러면 일단 추가로 조금 더 악성코드가 나왔는데 이게 유심 해킹에 의한 피해로 이어질 수 있는 실마리가 나온 게 있는지 그거, 이렇게 두 가지가 궁금합니다.

<답변> 두 번째 말씀부터 드리면 유심 피... 복제로 인한 피해 실마리는 발견하지 못했습니다. 그리고 유심보호서비스와 부정사용 방지 시스템 고도화 과정을 통해서 좀 그런 피해 우려는 더 차단하고 있다는 판단이고요. 추가적인 조사에서도 추가적인 피해 가능성은 발견하지 못했습니다.

SK텔레콤이 어떤 결정을 할지 모르겠습니다만 가정적으로 만약에 정부 방침에 반대되는 입장을 표명하는 경우 저희는 SK텔레콤의 입장이 확인되는 대로, 만약에 그런 입장대로라면 관련된 전기통신사업법상의 절차대로 시정명령을 요구하고, 또 시정명령이 요구되지... 진행이 안 되면 또 관련된 행정조치 그리고 또 관련된 전기통신사업법의 조치들을 취하게 될 겁니다. 관련 조항은 90... 전기통신사업법 92조 시정명령 등과 관련된 조항 그리고 또 전기통신사업법 20조 등록 취소 등과 관련된 그런 조치들이 법적으로 이렇게 진행... 절차적인 말씀을 드리겠습니다.

근데 이건 가정에 따라서 지금 드리는 말씀이기 때문에 그렇다는 말씀을 드리겠고요. 지금 정부가 발표한 사항에 따라서 SK텔레콤이 지금 오전에 저희가 정부의 구체적인 입장을 설명해 줬기 때문에 내부적인 검토를 하고 있을 것으로 판단이 되고요.

어떤 시점인지 모르겠습니다만 다양한 보상 방안과 정부 입장, 위약금과 관련된 정부 입장에 대해서 검토해 왔다고 지금 들었기 때문에 결정이 되는 대로 구체적인 방안을 SK텔레콤이, 어느 시점인지는 저희도 들은 바 없습니다만 국민적 관심이 높은 사안이기 때문에 조속한 시일에 내놓지 않을까, 그렇게 기대하고 있습니다.

<질문> SKT 귀책사유라는 판단을 받기까지 두 달 이상 소요가 됐는데 그사이에 해지한 위약... 가입자들도 많이 있거든요. 위약금 면제가 가능하다는 범주가 이게 소급 적용도 가능한 것인지 질문드리겠습니다.

<답변> 이것도 가정을 가지고 답변을 해야 돼서 조심스럽습니다만 위약금 면제를 정부가 해야 된다고 하는 입장이라면, 그걸로 해석을 하면 당연히 사업자가 발표하는, 오늘까지, 저희가 판단한 내용을 잘 보시면 4월 18일에 유출된 정보로 인한 이용자의 피해 가능성을 초점으로 저희가 해석을 했지 않습니까?

그래서 4월 18일에 유출된 2,695만 건에 해당하는 그 시점에서의 고객들은 모두가 다 해당할, 해당이 된다고 판단됩니다. 그래서 그 이후에, 이 침해사고가 유출된 이후에 그걸로 인해서 번호이동을 하신 가입자들한테는 당연히, 당연히 위약금에 대한 환불 조치가 이루어져야 된다고 판단되고요. 그 나머지 고객들에 대해서는 SK텔레콤에서 구체적인 범위를 정해서 제시하지 않을까 기대합니다.

<질문> 개념 흐름도를 보면 고객 관리망도 지금 감염이 돼 있는 것 같은데 그다음에 어떻게 됐는지가 없는 것 같아서, 고객 관리망에 뭐가 있었는데 그다음에 뭐가 어떻게 유출이 됐는지 그런 내용 혹시 설명해 주실 수 있나요?

<답변> 2번, 추가 거점 확보에서 고객관리망은 지금 보시면 장기간에 걸쳐서 침투들을 여러 시도한 정황이 보입니다. 그런데 지금 초록색의 관리망 서버는 거점 확보를 위한 용도로 판단이 되고 여기서 추가적으로 연계된 유출이나 이런 것들은 안 보입니다.

그런데 1번에서 바로 HSS 코어망으로 접속을 해서 4월 18일에 실제적인 유출은 거기서 이루어진 것이고요. 관리망, 2번에서는 침투된 사실만 확인했고 추가적인 활동은 확인하지 못했습니다.

<답변> (이동근 KISA 디지털대응본부장) 한국인터넷진흥원 이동근 본부장입니다. 질문하신 부분 관련해서 2차 발표 때도 말씀드렸던 부분이고요. 고객 관련된 정보가 평문으로 저장돼 있던 서버고 거기에 해커가 악성코드를 감염시킨 게 확인됐으나 저희가 당시 로그만 기준으로 했을 때는 유출 정황이 확인이 안 됐습니다. 그 부분 관련해서 차관님께서 말씀하신 것처럼 감염은 됐지만 실질적으로 정보가 유출된 것은 확인이 안 됐다, 라는 그 말씀을 드릴 수 있을 것 같습니다.

<질문> ***

<답변> 혹시 다른 온라인이나 이런 데가 괜찮을지 모르겠는데요. 말씀하십시오.

<질문> ***

<답변> 죄송합니다, 다시 한번. 아, 법률자문기관.

<질문> ***

<답변> 저희가 앞서 말씀드린 대로 사고 초기 숫자가 약간 6개, 4개, 약간 혼돈된 숫자가 있습니다만 법인 기준으로는 4개 법률 로펌에 의뢰를 했습니다, 1차. 그리고 최근에 사고조사 결과를 1차에 했던 4군데에 공히 다시 요청드렸고 그리고 신규로 2군데에 의뢰를 했습니다.

그래서 저희가 2군데 추가로 요청하게 된 배경은 1차로 4군데가 그동안에 직접적으로 사건 초기부터 관여해 온 그런 연속성은 있으나 또 한편으로는 새롭게 지금 시점에서 또 어떤 관점을 갖고 있는지의 추가적인 의견이 필요하지 않을까 하는 판단에서 신규로 2곳을 요청하게 되었던 것이고요.

그중의 1차 조사기관 중, 자문기관 중 1곳은 답변이 어렵다는, 그러니까 내용상 답변이 어렵다는 게 아니라 일정상 답... 2차 자문에 응하기 어렵다는 답변을 받았고, 3군데 중 또 1곳이 판단을 보류한 기관입니다. 그런데 그 기관은 내용상은 SK텔레콤의 주장에 하나하나의 다른 4곳과 동일한 의견을, 입장을 취하였으나 최종적인 위약금 면제에 해당하는지 여부에 대해서는 조금 더 법적인 다툼에서 필요로 하는 더 방대한 정보들을 가져야만 확신을 갖겠다는 그런 취지의 판단 보류를 한 것입니다.

그래서 어떤 자료를 저희한테 추가적으로 요구하거나 그런 것들은 없고요. 일반적으로 그런 판단에 이를 때 더 상세한 그런 검토 자료가 필요했다는 걸로 이해를 했습니다.

그리고 이 답변과 관련돼서 두 번째 질문은 가부에 대한 판단 위주였습니다. 구체적으로 어떤 규모, 범위를 어떻게 할지 세부적인 사항에 대해서는 판단을 하지 않았습니다. 하지만 기본적으로 공통된 의견은 이 약관에 대한 해석, 계약 당사자 간의 채무이행과 관련된 기본적인 다툼은 기본적으로 민법에 의해서 당사자 간 해결해야 될 사안이라는 점에서는 공통 답변, 의견드렸던 것으로 알고 있고요. 그렇게 말씀드려도 되죠?

<답변> (관계자) ***

<답변> 그렇지만 이번 경우에는 전기통신사업법, 또 정보통신망법, 이용약관을 과기정통부가 신고·수리하는 점 등 이 관련된 분쟁에서의 과기정통부는 관계당국, 주무당국으로서 그런 판단에, 관련된 법령과 규정에 따른 판단에 그런 권한과 일정 부분 역할이 있다, 하는 그런 판단이었다는 점을 말씀드리겠습니다.

<질문> 안녕하세요? 과거 침해사고 대응에 대한 조사 과정을 조금 더 면밀히 설명해 주시면 좋을 것 같은데, 2022년 2월에 침해사고 사실을 SKT가 알고도 신고 없이 자체 조치를 했고 그 감염된 서버의 로그기록 6개 중 1개만 확인을 했다는 건데, 이런 부분을 SKT 쪽에서 본인들이 6개 중 1개만 확인했다고 인정을 한 부분인 건지 조사 과정을 좀 설명해 주시면 좋겠고, 지금 과태료나 이런 조치에 관련해서는 신고의무 위반 규정만 검토가 되어 있는데 이게 단순히 신고뿐 아니라 조치한 것도 조금 부실해 보이는데 이에 대한 검토 규정은 없는지가 궁금합니다.

또 하나는 이게 별개인데 다른 2개 통신사와 플랫폼에 대한 점검은 따로 결과가 아직은 진행 중인 건지, 이것도 함께 부탁드리겠습니다.

<답변> 첫 번째 답변은 우리 이동근 조사단 부단장이 말씀드리고 두 번째, 세 번째는 우리 최 국장이 말씀 좀.

<답변> (이동근 KISA 디지털대응본부장) 네, 먼저 2022년 2월에 있었던 그 사고와 관련해서 말씀드리겠습니다. 당시 SKT에서는 보도자료에도 있는 것처럼 비정상적인 재부팅이 발생한 현상에 대해서 조사를 시작했고, 관련된 악성코드 감염 이슈가 있다는 걸 알아서 서버에 대한 점검을 시작했습니다.

그 과정 중에 악성코드도 2개를 찾게 됐고요. 저희는 조사 과정 중에 그런 활동을 했다는 흔적을 저희가 포렌식을 통해서 확인을 했습니다. 그래서 SKT로부터 2022년도에 그런 사고가 있었는지 소명을 다 받았고요.

그리고 그 관련 중에 아까 로그 6개, 1개는 그때 점검활동 했던 기록들을 저희가 다 봤습니다. 그래서 점검하시는 분이 로그를 체크하는 과정 중에 다른 서버에서는 한 6개 정도로 보던 과정 중에 아까 언론보도 된 BPFDoor에 감염된 서버에 대해서는 6개 로그 중에서 1개만 보고 작업을 종료했던 것을 저희가 확인했기 때문에 그런 부분에 대해서 저희가 보도자료에 담고 있습니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 아까 물어보신 두 번째, 세 번째 답변을 드리는데요. 제가 민관합동조사단의 단장이 아니라 과기정통부의 정보보호네트워크정책관으로 답을 드려야 될 것 같습니다. 왜 그러냐면 이게 잘못된 부분에 대해서 과태료만 무는 건지 아니면 수사의뢰만 하는 건지, 사실 이게 법적 위반이 명확할 때 그런 조치들이 나갈 수가 있는 겁니다. 그냥 단순히 관리를 하면서 문제가 되는 부분은 재발방지 대책이라는 형태로 저희가 문제제기를 할 수밖에 없고요. 만약에 거기에 대해서 적절한 조치가 없다면 아까 말씀드렸듯이 시정명령이라든지 이런 조치가 따를 것입니다.

세 번째 물어보신 게 타 통신사하고 플랫폼 진행 상황을 물어보셨습니다. 나머지 2개사에 대해서는 SK에 준하는 조사를 통해서 지금까지 문제가 없는 것으로 저희가 확인을 했고요. 플랫폼사 같은 경우는 4개사를 진행했는데요. 아직도 좀 더 진행 중이어서 다음에 기회가 될 때 저희가 다 묶어서 발표를 드리도록 하겠습니다. 이상입니다.

<질문> 질문 기회 주셔서 감사합니다. 저는 두 가지 질문드리고 싶은데요. 초반에 민간에서 불안감이 커진 이유가 IMEI와 IMSI가 같이 결합돼서 유출됐을 때 위험하다는 판단이 있어서 불안감이 커졌었는데 지금 보시면 IMEI 정보유출 같은 경우에는 로그기록이 남아있지 않을 때에는 유출 여부를 알 수 없다가 판단하신 걸로 아는데 그러면 그 로그기록이 없는 기간에 대한 불안감 해소는 국민들께서 어떻게 받아들여야 될지 이 부분에 대한 추가 설명이 있었으면 좋겠고요.

두 번째는 조사단이 강도 높은 조사가 이루어졌다고 알고 있는데 조사 인력이나 규모, 과정에서 저희가 조사단의 결과를 얼마나 신뢰할 수 있을지 이 부분에 대해서 추가 설명해 주셨으면 감사하겠습니다.

<답변> 안 기자님, 죄송한데 두 번째 질문 다시 한번만 부탁드릴게요.

<질문> 조사단 인력이나 규모, 과정에 대해서 상세하게 설명해 주시면 좋겠습니다.

<답변> 조사단 관련된 답변은 우리 최우혁 국장님이 다시 한번 해주시고요.

맞습니다. 민간, 저희가 사고 초기 유심정보 유출과 그다음에 IMEI, 1차 조사에서도 저희가 급히 IMEI가 유출되었는지 여부를 발표드린 것도 지금 질문하신 그런 국민들의 불안감을 빨리 해소시켜 드려야 된다는 그런 배경 때문에 그렇게 했던 것인데요.

앞서 말씀드린, 1차 발표 때 말씀드린 것처럼 IMEI 값이 저장된, 저장하도록 되어 있는 서버, 38대를 면밀하게 분석한 결과 공격받은 흔적이나 유출된 흔적이 없었다는 거는 1차 발표와 동일한 것이고요.

2차 발표 때 저희가 말씀드린 것처럼 2차 발표 때 아까 관리, 고객 관리망... 지금 초록색의 고객 관리망에 2차 발표 때 29만 건의 IMEI가 저장되어 있고 그 외의 나머지 다른 전화번호나 정보들이, 중요 정보들이 저장되어 있다는 거를 저희가 발표해 드렸는데 IMEI가 유출된 흔적은 로그 기간 중에는 없었다는 점을 말씀드렸고요.

그리고 유출된 흔적이 확인이 안 됐고, 그럼 로그 없는 기간에 대한 불안감들인데요. 그런 점 때문에 사업자도 유심보호서비스와 FDS 2.0의 고도화 작업을 서둘렀던 걸로 알고 있고요. 5월 18일 기준으로 부정 접속... 부정사용방지시스템 FDS 고도화 작업이 완료되었습니다.

그래서 지금 2차 발표 때도 말씀드렸지만 5월 18일에 FDS가 완료됐고 저희가 5월 19일에 2차 발표를 말씀드렸는데요. 기술적인 부분을 100% 장담한다는 거는 그렇게 말씀드리기가 어려운 점 때문에 사업자도 이런 혹시라도 있을 수 있는 그런 것들에 대한 대비, 그런 모니터링 작업을 강도 있게 이렇게 계속 진행해 왔고 지금까지도 하고 있는 걸로 알고 있고요. 그런 점에서 그런 피해 사례나 그런 시도들 자체가 없었다는 점을 말씀드리겠고요.

저희가 IMEI 값에 대해서는 논란의 소지가 좀 있었던 것 같습니다. 그 당시 저희도 제조사들을 통해서 확인한 거, 단말기 제조사와 칩 제조사들을 통해서 글로벌 사업자들, 또 국내 사업자들 통해서 그때 확인한 결과는 IMEI가 설령, 15개 숫자로 구성된 IMEI 값, 단말기 식별정보가 유출됐다 하더라도 제조사가 갖고 있는 그런 인증 값을 동시에 탈취하지 않으면 단말기 복제는 불가능하다는 것이 저희가 질의했던 사업자, 제조사와 칩... 제조사들의 공통된 의견이었습니다.

그래서 그것들이 과연 정말 안 되느냐? 중국... 죄송합니다만 국가의, 어떤 특정한 국가를 말씀드려서 그렇습니다만 여러 가지 또 시도들이 해외에서는 있는 것들, 이런 사례들도 있다는 주장도 있어서 저희가 100% IMEI가 과연 유출돼도 단말기 복제가 100% 불가능하다는 말씀드리기는 어려울 것 같습니다만 지금 삼성전자를 비롯해서 글로벌 제조사들, 단말기 제조사, 또 칩 생산하는 그런 글로벌 업체에 저희가 문의한 결과로는 IMEI 숫자가 설령 유출됐다 하더라도 그거는 단말기가 복제되는 그런 상황은 불가능하다는 그런 입장이었다는 점, 그 점은 말씀드리고 싶고요.

그 제조사들의 설명 외에 사업자들이 그런 복제폰, 복제유심과 복제폰을 통한 네트워크 접속을 차단하기 위한 그런 노력들을 계속하고 있고 고도화 작업들을 하고 있어서 제 판단에는 국민들께서 복제폰과 복제유심, 복제폰으로 인한 걱정을 하시는 거는 안 하셔도 되지 않을까 그런 생각은 하고 있습니다.

하여튼 철저하게 저희들도 면밀하게 사업자들의 그런 시스템을 계속 확인하고 혹시라도 있을 수 있는 피해들 또는 부정 접속 시도가 있는지 당국으로서도 면밀하게 주시해서 국민 피해가 절대 발생하지 않도록 저희가 최선을 다하겠습니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 민관합동조사단장으로서 말씀을 드리겠습니다. 강도 높은 조사를 갖다가 투입된 인력 기준으로 설명해 달라고 하셨는데요. 과거에 있었던 조사단의 규모가 통상적으로 20인 이내인데 10여 명 정도 됐었습니다. 이번에는 조사단 규모만 23명이고 조사를 하면서 중간에 SKT 서버 대수가 4만여 대에 달해서 그거를 갖다가 직접 점검하는 과정에 KISA 인력이 70여 명이 투입됐습니다. 그래서 인력 규모로도 상당히 많은 인력이 투입되는 정도의 강도 높은 조사였고요.

그다음에 서버 대수를 아까 제가 비교를 하지는 않았는데요. 통상적으로 문제가 되는 이슈, A사 같은 경우는 어디라고 말씀은 못 드리겠지만 100여 대 정도만, 주로 문제가 되는 지점만 점검을 했었는데요. 이번에는 BPFDoor의 특성이나 이런 걸 고려해서 전수를 하면서 약 4만여 대 이상을 갖다가 저희가 점검을 했습니다. 그래서 저희가 '강도 높은 조사'라는 표현을 쓰고 있습니다.

<질문> ***

<답변> 그렇습니다.

<질문> ***

<답변> 로그 기록이 있는 기간 중에는 유출이 안 된 게 확실히 확인되었고요. 로그 기록이 남아 있지 않은 기간은 앞서 말씀드린 사례와 같이 확인이 어렵다는 겁니다. 확인할 수 없었다.

<질문> ***

<답변> (이동근 KISA 디지털대응본부장) 기자님 말씀하신 CDR이 유출됐을 때 위협이 어떤 게 있을 수 있는지 질문이신 것 같습니다. 그래서 지금 우려하시는 부분은 CDR이라는 게 결국은 누가 언제 누구와 통화했는지에 대한 기록 부분이기 때문에 그거를 가지고 어떤 식으로 범죄라든지 아니면 피해를 일으켰을지는 지금 명확하게 시나리오나 이런 걸 만들기에는 어려운 상황입니다, 직접적인 피해와 연관되지는 않기 때문에. 어떻게 보면 약간 개인의 사생활이라든지 이런 부분하고 관련돼 있는 영향이 있을 수는 있겠지만 그거를 개인이 직접적으로 인지하고 이걸 신고하는 거는 현실적으로는 조금 어려운 점이 있다는 점은 저희도 인지는 하고 있습니다. 근데 그거는 다른 기술적인 분석이나 전문가들도 동일한 판단을 내릴 거 같습니다.

<질문> 아까 전에 차관님 답변하실 때 위약금 면제 SKT가 거부 시에 기간통신사업자 등록취소 가능성에 대해서 언급하셨는데요. 이게 전기통신사업법 제20조에서 신고한 약관을 지키지 않았을 경우에 등록취소가 가능하다는 근거를 기반으로 하신 것인지, 그러니까 즉 귀책사유가 있는데 위면해지가 가능하다는 그 약관 조항을 지키지 않아서 등록취소가 가능하다는 내용으로 보신 건지 궁금하고요.

그리고 두 번째 질문은 지금 위약금 면제 범위에 대해서 사실 이 위약금이 이동통신 휴대폰 유심 가입자 외에 인터넷이나 TV 결합할인을 받고 있는 고객들도 많은데 이들이 만약 이동을 하게 되면 약정기간이 다 다르고 그런 TV와 인터넷에 대한 위약금도 발생할 텐데요. 그러면 SK텔레콤이 혹시 위약금 면제가 아니라 위약금 감면이나 그런 조건에 따라 차등 적용을 한다면 그것은 그런 약관에 위반하다고 판단하시는 건지 궁금합니다.

그리고 마지막으로 하나는 이게 오늘 자료에서 약관상 위약금 면제에 해당하는 일반적인 해석이 아니고 이번 사안에 특정된 거라고 말씀하셨는데요. 그러면 향후에 다른 통신사들에서도 똑같은 정보유출사고가 발생하더라도 이런 보호의무를 충실히 했다고 판단이 되면 이런 위약금 면제 요건에 해당하지 않는다고 보시는 건지 궁금합니다.

<답변> 세 번째 질문부터 답변을 드리겠습니다. 저희도 법률자문기관들의 의견들도 토론도 여러 차례 했습니다만 아까 말씀드린 것처럼 이거는 계약당사자 간의 채무불이행을 어떤 범위의, 신뢰, 계약의 신뢰가 훼손이 됐느냐, 또 이 계약을 파기할 정도의 신뢰 훼손에 이르렀느냐, 이런 판단들이어서 상당히 개별적인 성격이 강한 것 같습니다.

그리고 이번 경우 같은 경우에도 유심정보라는 것이 과연 소비자들이 다른 보호조치나 안전하게 보호되는 상황에서 벌어졌느냐 아니면 그마저도 없는 상황에서 벌어졌느냐, 이런 것들이 이번 사고 특수한 상황 해석이 필요하다는 게 법률자문의 결과이기도 하고요. 저희들도 그런 판단을 하고 있습니다.

그래서 저도 지금 이게 회사의 귀책사유로 인하여 해지하는 경우를 어떻게 구체화하는 게 필요하지 않을까 하는 생각은 하고 있습니다만 여전히 명확한 이용약관 제9조에 따르면 사업자의 책무가, 사업자의 의무가 있고 10조는 이용자의 의무라고 계약당사자의 의무가 명기되어 있습니다. 그 9조상 사업자의 의무로 22가지의 의무 조항이 있는데 그 이용약관에 있는 의무가 위반되었느냐가 가장 이 계약에 있어서 중요한 구체적인 채무불이행을 따질 수 있는 근거가 되겠고요.

그거 외에 특약이 있느냐? 또 이용약관이, 이야기한 이용약관에 근거로... 들어 있는 것처럼 약관에 없는 사항은 관련 법령을 따른다고 되어 있기 때문에 다른 법령상의 의무 위반이 있는지, 그 의무 위반이 계약의 전속을 유지를 할 수 없을 정도로 신뢰 훼손에 이르렀는지, 이런 판단들이 모호한 측면이 계속 있을 것 같습니다.

그래서 이거를 침해사고와 위약금 면제를 일반화하기에는 한계가 있다는 것이 저희들 판단이고 법률 자문의 결과라는 점을 말씀드리겠고요.

첫 번째, 제가 '등록취소'라는 표현은 그 조항의 이름이 제20조가 '등록의 취소 등'이라 그래서 그 조항을 거론했는데요. 기본적으로 시정명령의 조항이, 저희는 직접적으로 제92조 시정명령의 1항 제2호가 전기통신사업자의 업무처리 절차가 이용자 이익을 현저히 해친다고 인정되는 경우에 저희가 그 시정을 요구할 수 있게 되어 있고 시정 요구를, 시정명령을 이행하지 않는 경우에 또 조치들이 이루어집니다.

그리고 두 번째는 등록취소 등에 관련된 조항이 전기통신사업법에 이런 사업의 일부 또는 전부의 취소 또는 일부의 정지, 전부 또는 일부의 정지와 관련된 사유 중에 28조 1항에 따른 신고한 이용약관을 지키지 아니한 경우, 이런 것들이 있기 때문에 이런 조항들이 만약에 저희 정부가 이런 이용약관에 대한 해석을 지금 말씀드린 대로 했는데도 사업자가 그대로 수용하지 않는다면 취할 수 있는 조치들이라는 그런 말씀을 드리는 겁니다.

그리고 두 번째 질문 죄송합니다만 다시 한번만.

<질문> 결합할인일 때 일부만 한다든가...

<답변> 결합할인. 그 구체적인, 그래서 저희가 여기 지금 계약 당사자들의 사업자의 계약이 굉장히 개별적으로 특수합니다. 그래서 위약금에 따른 여러 가지 사항들이 있어서 아마도 그 구체적인 개별적 환경들이나 조건들을 정부가 일률적으로 판단해서 이렇게 정리해 드릴 수는 없을 것 같고요.

오늘 만약에 SK텔레콤이 위약금을 수용하는 걸로 발표한다면 소비자들께서 혼란을 겪지 않으시도록 구체적인 어떤 기준이나 절차를 제시하지 않을까, 그렇게 생각합니다.

<질문> 오늘 브리핑 내용 쭉 보면 기업이라면, 전산시스템을 쓰는 기업이라면 해킹을 당할 수도 있고 그럴 수 있는데 첫째, SK텔레콤은 우리나라의 기간통신망의 어떻게 보면 굉장히 중추적인 위치를 차지하고 있는 사업자인데 일단 거기서 해킹이 발생했다는 게 문제고, 또 하나는 오늘 브리핑 내용을 쭉 보면 과거의 SK텔레콤, 그러니까 약간 고의성을 보이는 부분이 많거든요.

예를 들어서 과거에도 해킹을 당하고도 그거를 은폐했다든가 아니면 이번에도 늑장 신고를 했다든가. 처음에 진상조사단이 들어가서 할 때 거부를 했다는 얘기도 있었고, 또 하나는 여기에 보면 서버나 이런 거를 보존하라고 했는데 명령을 어기고 예를 들어서 몇 개의 서버는 아예 포렌식이 불가능한 상태로 지워서 예를 들어서 점검을 받았다든가, 어떻게 보면 그냥 실수로, 아니면 약간 미흡으로 받은 게 아니고 상당히 고의적으로 한 그런 행위들이 많거든요.

그런데 그 고의적인 게 그냥 어떤 작은 규모의 기업이 아니고 사실 기간통신망의 핵심을 차지하는 기업에서 이렇게 한 건데, 그런데 전체적으로 결론을 보면 SKT의 귀책이라고 나오거든요. 그러니까 결국 정보보호라는 측면으로 굉장히 범위를 좁혀서 결론을 낸 것 같은 측면이 있는데, 앞에서 누군가 질문을 하던데 추가로 예를 들어서 SK의 이런 행위에 대해서 정부가 정책적으로 뭔가 판단할 여지가 더 있는 건가요? 왜냐하면 어떻게 보면 전혀 자격이 없는 선수한테 우리나라 기간통신사업을 맡겨 놓은 어떤 그런 모습이 오늘 브리핑 내용에서 보여서 질문을 드렸습니다.

<답변> 말씀하신 늑장 신고 또 사고, 2022년 사고를 당국이 신고하지 않은, 저희도 그 하나하나에 대해서 확인서를 받고 소명을 듣고 하는 그런 절차는 거쳤습니다만 기본적으로 사업자의 그런 고의성이나 이런 부분에 대해서는 저희가 지금 운영해 온 민관합동조사단의 활동 내에서 구체적으로 그런 범죄성을 밝히기는 저희가 그 측면에서는 한계가 있고 원래 목적에 안 맞는 부분이 있습니다.

그런데 다만, 정부 전체적으로는 경찰이, 경찰이 자체 지금 공격자를 파악하는 것도 있고 또 관련된 고소·고발이 이루어져서 이러한 고의성이나 SK텔레콤의 범죄적인 측면이 있는지는 경찰 수사를 통해서 밝혀질 걸로 그렇게 생각을 합니다.

이 사업자가 적정한지 여부, 그러니까 그런 전반적인 측면에서 1위 사업자로서의 자격을 말씀하신다면 아마 그런 측면에서 혹시 정부가, 특히 과기정통부의 당국으로서의 어떤 다른 판단이 있을 수 있느냐 하는 부분은 아마도 저희가 경찰 조사나 그런 것들을 전체적으로 보아서 회사가 기간통신사업자로서 그런 법적인 의무, 또 일반 국민들이 기대하는 그런 정도의 의무를 이행할 수 없을 정도로 범죄적인 뭔가가 있었다면 그때 한번 판단을 해보겠습니다만 지금은 저희가 조사단 차원에서 확인한, 그리고 조사, 자료보전 명령이나 이런 신고, 법적으로 저희 관련된 조항의 위반사항에 대해 따지는 그 정도 수준에서 판단드리기는 아직은 좀 이르다는 생각이 듭니다.

<질문> 안녕하세요? 저 여쭤보고 싶은 게 위약금 면제를 판단하실 때 이용약관상 제22조 사이버 침해사고 시 선량한 관리자의 주의 의무를 다했다면 회사가 책임을 지지 않는다는 조항에 대해서는 어떻게 판단하신 건지도 여쭙고 싶고요.

그리고 아까 SBS 기자분이 질문하실 때 과거에 유출된 게 확인되지는 않았지만 미래에 피해는 크게 없을 거다, 라고 말씀을 주셨는데 사실 또 보도자료에 보면 다른 보호 조치가 없는 상태에서 제3자가 복제폰을 만들어 위험한 상황을 초래할 수 있다, 마치 과거에 피해가 발생할 수 있는 것처럼 말씀을 주셔서요. 약간 어폐가 아닌지에 대해서 질문드리고 싶습니다.

그리고 제가 마지막 질문이라서 한 가지만 더 여쭤보면 앞으로 국회와 논의하실 제도 개선 방안이라든지 정보보호 강화 방안 등은 어떤 게 있으실지도 같이 여쭤보고 싶습니다.

<답변> 첫 번째, 약관 22조가 침해사고의 귀책사유, 면책조항인데요. 일단 22조하고 43조, 위약금 면제와 연관성은 좀, 직접적인 연관성은 없습니다. 그런데 일반적인 침해사고에 있어서의 그런 면책 규정 이런 것들을 사업자가 약관에서 이용자하고 계약을 한 것인데, 그 측면에 대한 해석은 이미 저희가 사고조사에서 이 침해사고는 회사에 귀책사유가 있다, 라고 저희가 결정을 한 것이고요. 또 그 침해사고로 인한 피해의 중대성이나 이런 것들을 감안했을 때 그 연결고리가 그거여서 43조도 위약금 면제가 된다는 판단을 한 것입니다.

그리고 보도자료에 아까 좀 어폐가 있다고 말씀하셨는데 저희가 설명을 그렇게 한 것도 당시 상황을 보았을 때, 이미 그 당시에도 유심보호서비스가 있었고 FDS라는 방어시스템이 있었습니다. 그런데 그런 시스템에 다른 2차, 3차 보호 조치가 없이 온전하게, 완전히 다른 보호 조치가 없이 유심보호... 유출이 있었다면, 유심정보 있었다면 복제가 가능하고 피해가 가능했다, 라는 전제적인 말씀을 드린 거고요.

그렇게 말씀드린 이유는 아까 슬라이드에도 있습니다만 유심보호서비스 출시가, 유심 FDS가 2023년 8월·11월에 만들어졌기 때문에, 그 이전에 실제 심 스와핑이 있었습니다. 유심을 복제해서 고객이 잠든 사이에 복제된 유심을 다른 단말기에 꽂아서 고객이 인지하지 못하는 그런 시간대에 범죄행위를 한 사실이 2021년 모 사의 사고에서 있었습니다.

그런 것들이 실제로 있었기 때문에 사업자들도 2차·3차 방어시스템들을 만들게 된 거고요. 보도자료에 언급한 거는 그런 가정적으로 이런 보호조치가 없었다면 유심정보로 인한 피해가 있을 수 있었다는 말씀을 드리고요.

그럼에도 불구하고 사고 시점에서 유심보호서비스와 FDS 1.0이 있었지만 말씀드린 대로 그 당시 시점에서는 유심보호서비스에 단 5만 가입자밖에 가입이 안 돼 있었고, FDS 1.0도 기술적으로도 완벽하다고 말할 수 없는 그런 상황이었기 때문에 언제든지 그 시점에서 이용자들은 이런 피해 가능성에 노출됐을 수 있었다, 라고 판단한 것입니다.

답변이 됐는지 모르겠습니다. 그 세 번째 마지막...

<질문> 마지막에 국회와 논의한 대책.

<답변> 네, 저희가 설명에서 간단히 언급드렸습니다만 국회 T/F가 굉장히 적극적으로 그동안 다섯 차례에 걸쳐 회의를 하면서 조사단으로부터 저희가 조사 결과나 아주 구체적인 기술적인 그런 것들에 대해서 많은 것들을 공유를 못 드렸습니다만 전체적으로 이 조사와 관련돼서 제도개선점이 어디 있는지 이런 것들을 굉장히 치열하게 토론을 많이 했고요.

법 개정이 필요한 부분 또 새로운 법이 필요한지 여부 이런 것들부터 현재 정부가 운영해왔던 정보보호 관리체계나 또 주요 정보통신 기반 시설 보호와 관련된 여러 가지 조치들이 보완할 점들이 없었는지 이런 것들을 좀, 또 그리고 전반적으로 우리 기업들한테 권고할 보안 거버넌스나 이런 모범 사례들이 어떻게 더 발굴이 돼서 확산할지 이런 것들을, 많은 것들을 논의했습니다.

그래서 그런 부분들은 저희가 그동안에 같이 논의한 것들을 마무리해서 국회 T/F가 과학기술... 과방위에서 또 정부와 협력해서 조만간에 구체적인 방안들을 발표해 드릴 수 있지 않을까, 그렇게 생각되고요. 그 점에 대해서는 조금 더 구체적인 이야기는 그때 그 결과를 기다려 주십사 부탁드리겠습니다.

장시간 또 이렇게 설명 들어주시고 또 여러 가지 질문들을 가감 없이 해주신 점 다시 한번 감사드립니다. 고맙습니다.

<답변> (사회자) 이상으로 브리핑을 마치겠습니다. 감사합니다.

<끝>

이전다음기사

다음기사민생회복지원금 지급방안