국내 2300만 가입자를 보유한 최대 이동통신사 SK텔레콤에서 해킹 공격으로 유심(USIM) 정보가 유출되는 사고가 발생했다. SKT는 현재까지 해당 정보를 악용한 사례는 없다고 해명했지만, 가입자에 대한 안내가 미흡하다는 질타가 이어지고 있다. 이 가운데 SKT가 최초 해명과 달리 관계기관에 해킹 사실을 늑장 보고했다는 주장이 나와 뭇매를 맞고 있다.
SKT는 지난 22일 입장문을 내고 해킹 공격을 받은 사실을 공식 발표했다. 입장문에 따르면 지난 19일 밤 11시쯤 악성코드로 인해 SKT 가입자들의 유심 관련 일부 정보가 유출된 정황이 발견됐다. 침해사고 발생 사실을 24시간 내 신고해야 하는 정보통신망법에 따라 SKT는 이튿날 한국인터넷진흥원(KISA)에 정황을 알렸다.
유출된 정보는 가입자별 유심을 식별하는 고유식별번호 등인 것으로 알려졌다. 이름, 주민등록번호, 휴대 전화번호 등 민감정보 유출 여부는 조사 중이다. SKT는 문제의 악성코드를 즉시 삭제하고, 해킹 의심 장비를 격리해 해당 정보가 실제로 악용된 사례는 확인되지 않았다고 해명했다.
SKT는 과학기술정보통신부 등 통신 당국과 함께 정확한 사고 원인과 현황을 조사 중이다. 과기정통부는 사건의 중대성을 고려해 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했다. 서울경찰청 사이버수사대도 SKT로부터 해킹 피해 신고를 접수하고 수사에 착수했다.
이 가운데 SKT가 해킹 사고를 최초 인지한 시점이 가입자 정보 탈취를 인지한 시점보다 하루 빨라 24시간 이내에 신고해야 하는 규정을 위반했다는 주장이 나와 충격을 주고 있다.
국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 SKT로부터 제출받은 자료에 따르면 회사 측은 지난 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다. 같은 날 오후 11시 20분에는 악성코드를 발견하고 해킹 공격을 받았다는 사실을 내부적으로 확인했다.
SKT는 19일 오전 1시 40분부터 어떤 데이터가 빠져나갔는지 분석을 시작했다. 그 결과 22시간 만인 같은 날 오후 11시 40분쯤 해커에 의한 악성 코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.
최 의원실에 보고된 SKT의 KISA 보고 시점은 20일 오후 4시 46분으로 사건 최초 인지 시점인 18일 오후 6시 9분으로부터 45시간 차이가 난다. 해킹 공격을 받은 것으로 판단을 내린 18일 오후 11시 20분을 기준으로 하더라도 만 하루를 넘긴 시점에 신고한 셈이다. KISA에서도 최 의원실에 SKT가 24시간 내 해킹 공격을 보고해야 하는 규정을 위반했다고 전해왔다.
SKT는 “사안의 중대성을 고려해 사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것”이라며 “고의적인 지연 의도는 없었다”고 해명했다.
이화연 기자 hylee@segye.com
