)
)
)
)
과학기술정보통신부가 지난 4월 발생한 SK텔레콤(SKT) 침해사고에 대해, SKT가 이용자들의 위약금을 면제해야 한다는 판단을 내놨다.
과기정통부는 4일 오후 서울정부종합청사에서 SKT 침해사고 이후 약 두 달간 이어진 민관합동조사단(이하 조사단)의 최종 조사결과를 발표했다.
SKT는 4월 18일 23시 20분 침해사고를 인지하고, 4월 20일 16시 46분 한국인터넷진흥원(KISA)에 신고했다. 과기정통부는 SKT의 유심정보 유출을 중대한 사이버 침해사고로 판단하고 4월 23일 조사단을 구성했다.
조사단은 SKT가 당시 국내 1위 이동통신사인 점, 휴대폰 부정 사용 가능성에 대한 국민의 우려가 높은 점, 악성코드의 은닉성을 고려해 SKT 전체 서버 4만 2천605대를 대상으로 BPF도어 및 타 악성코드 감염 여부를 지난달 27일까지 시행했다.
조사과정에서 28대의 서버가 감염된 것으로 파악됐고, 포렌식을 비롯한 정밀분석 결과 악성코드 33종(BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종))을 확인했다.
유출된 정보는 전화번호, 가입자 식별번호(IMSI )등 유심정보 25종였으며, 유출 규모는 9.82GB, IMSI 기준 약 2천696만 건이었다.
확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원을 비롯한 주요 민간·공공기관에 공유하고 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.
조사단은 SKT의 정보보호체계에 여러 문제점이 있었다고 분석했다. 우선, SKT는 감염이 확인된 서버 계정정보를 타 서버에 평문으로 저장해 공격자가 이를 활용해 음성통화인증(HSS) 관리서버를 감염시킬 수 있었다.
또한 2022년 2월 23일 특정서버에서 비정상 재부팅이 발생함을 확인하고 서버를 점검해 악성코드 감염서버를 확인했으나, 24시간 내 신고 의무를 위반했다. 당시 이번 침해사고에서 감염이 확인된 서버의 비정상 로그인 시도 정황도 발견했으나, 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다.
세계이동통신사업자협회(GSMA)는 유심복제에 활용될 수 있는 유심 인증키 값의 암호화를 권고하고 있고, KT와 LG유플러스도 암호화하고 있으나 SKT는 암호화하지 않고 저장했다.
과기정통부는 SKT가 이번 침해사고 대응과정에서 정보통신망법을 위반했다고도 밝혔다. 사고인지 시점부터 24시간 이내 신고 의무 위반이 대표적으로, 3천만 원 이하 과태료 부과 대상이다.
원인 분석을 위한 과기정통부의 자료보전 명령도 위반했다. 서버 2대를 포렌식 분석이 불가능한 상태로 임의조치 후 제출한 것이다. 정보통신망법 제73조에서는 자료보전 명령을 위반해 자료를 보전하지 아니한 자는 2년 이하의 징역 또는 2천만 원 이하의 벌금 대상으로 규정하고 있다. 정부는 해당 조항 위반과 관련해 수사기관에 수사를 의뢰할 예정이다.
이 밖에도 SKT는 정보보호 최고책임자(CISO)가 정보보호 전체 자산의 57%에 대해서만 보안을 담당하고 있었고, 방화벽 로그를 4개월간만 보관 중이었다.
특히 2024년 정보보호 공시 기준 SKT의 가입자 100만 명당 정보보호 인력은 15명, 투자액은 37억 9천만 원으로 통신사 평균 대비 규모가 작았다.(평균 100만 명당 정보보호 인력 17.7명(KT: 25.1명, LGU+: 14.3명), 투자액 57억 4천만 원(KT:90억 8천만 원, LGU+:57억 5천만원))
과기정통부는 이러한 조사결과를 기반으로 SKT의 이용약관상 위약금 면제를 검토한 결과, 위약금 면제 규정 적용이 가능하다고 판단했다.
SKT는 이용약관에서 회사의 귀책 사유로 인해 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.
과기정통부는 SKT가 안전한 통신서비스 제공을 위한 유심정보 보호와 관련해 일반적으로 기대되는 사업자의 주의의무·안전한 통신서비스 제공 의무를 다하지 못했고, 관련 법령이 정한 기준을 미준수했기 때문에 회사의 귀책사유에 해당한다고 본 것이다.
과학기술정보통신부 류제명 제2차관(이미지=e브리핑 캡처)
브리핑을 진행한 과기정통부 류제명 제2차관은 “다만, 이러한 판단은 SKT 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적 해석은 아니다”라고 못박았다.
그러면서 “이번 사고는 민간 분야 정보보호 전반의 체계를 개편하는 계기가 됐다”라며 “정부와 국회 과학기술정보방송통신위원회가 구성한 TF는 긴밀히 협력하여, 국민 생업에 미치는 영향이 큰 통신망을 안전하게 보호하기 위한 별도의 법·제도 방안, 민간의 정보보호 거버넌스 강화를 위한 제도 개선 방안을 조속히 마련할 것”이라고 밝혔다.
SKT가 정부의 판단과 반대되는 입장을 내놓을 경우 행정지도를 검토할 계획이냐는 질문에는 “전기통신사업법상 절차대로 시정명령을 요구하고, 관련된 조치를 하게 될 것”이라며 “SKT에 정부의 구체적인 입장을 설명했기 때문에 내부적인 검토를 하고 있을 것”이라고 답했다.
과기정통부는 후속 조치로, 7월까지 SKT의 재발방지 이행 계획을 제출토록 하고, 8월부터 10월까지의 이행 여부를 연말에 점검할 계획이다.
자료출처=과학기술정보통신부
SKT 침해사고의 공격자는 2021년 8월 6일 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버 A에 접속 후 원격제어, 백도어 기능이 포함된 악성코드(CrossC2)를 설치했다. 당시 서버 A에는 관리망 내 서버들의 계정 정보(ID, 비밀번호)가 평문으로 저장돼 있었고, 조사단은 공격자가 이를 활요해 관리망 내 서버 B에 접속한 것으로 추정했다.
2022년 6월 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며, 서버 접속 후 악성코드(웹셀, BPFDoor)를 2022년 6월 15일과 22일 설치했다. 이후 2023년 11월 30일부터 올해 4월 21일에 걸쳐 시스템 관리망 내 여러 서버에 악성코드를 추가로 설치했다. 이같은 행위가 가능했던 것은 SKT가 서버의 계정 패스워드를 장기간 미변경했기 때문이라고 조사단은 분석했다.
공격자는 2025년 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB를 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.
조사단은 감염서버에서 단말기식별번호(IMEI)와 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시저장된 서버 1대를 발견했다. 정밀 분석 결과 방화벽 로그 기록이 남아 있는 기간(IMEI : 2024년 12월 3일부터 올해 4월 24일, CDR : 2024년 12월 9일부터 올해 4월 20일)에는 자료유출 정황이 없었다.
단, 과기정통부는 로그 기록이 없는 기간(IMEI : 2022년 6월 15일부터 2024년 12월 2일, CDR : 2023년 1월 31일부터 2024년 12월 8일)에는 유출여부를 확인하는 것이 불가능했다고 전했다.
![[EMO Hannover 2025 Preview] HURON, ‘Town of Technology’ 전략으로 미래 제조 혁신 비전 제시](http://pimg3.daara.co.kr/kidd/photo/2025/07/17/thumbs/thumb_168126_1752729633_26.jpg)
![[EMO Hannover 2025 Preview] URMA, 모듈형 절삭공구로 고정밀·자동화 수요 대응](http://pimg3.daara.co.kr/kidd/photo/2025/07/17/thumbs/thumb_168126_1752732491_70.jpg)
![[EMO 2025 Preview] CIMSOURCE, 공구 데이터 통합 플랫폼 ‘Tooling 360°’로 디지털 제조혁신 겨냥](http://pimg3.daara.co.kr/kidd/photo/2025/07/17/thumbs/thumb_168126_1752738841_80.jpg)
