침해 사고 적발과 신고 지연 과정.
국내 최대 이동통신사인 SK텔레콤이 사이버 해킹 정황을 확인하고도 법정 신고 기한을 넘겨 뒤늦게 관계 당국에 신고한 것으로 밝혀져 논란이 일고 있다. 24일 최수진 국민의힘 의원이 SK텔레콤으로부터 제출받은 자료에 따르면, SK텔레콤은 해킹 침해 사고를 인지한 후 40시간이 경과한 시점에서야 한국인터넷진흥원(KISA)에 신고한 것으로 확인됐다.
SK텔레콤은 지난 18일 오후 6시 9분 의도치 않게 사내 시스템이 움직였다는 사실을 처음 인지했다. 이후 같은 날 오후 11시 20분경 악성코드를 발견하고 해킹 공격을 받았다는 사실을 내부적으로 확인했다. 이튿날인 19일 오전 1시 40분부터는 어떤 데이터가 유출됐는지 분석 작업에 착수했다.
분석 결과 해커들이 심은 악성코드로 이용자의 유심(USIM) 관련 일부 정보가 외부로 유출된 정황을 파악한 시점은 19일 오후 11시 40분경이었다. 그러나 SK텔레콤이 한국인터넷진흥원에 공식 신고한 것은 그로부터 약 17시간이 지난 20일 오후 4시 46분이었다. 이는 최초 이상 징후 발견 시점으로부터는 45시간, 침해 사고를 인지한 후로부터는 40시간이 경과한 시점이었다.
법적 의무 규정과 위반 논란.
이러한 신고 지연은 정보통신망법 위반 소지가 있는 것으로 지적되고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따르면, 정보통신서비스 제공자는 침해 사고가 발생한 것을 알게 된 때로부터 24시간 이내에 과학기술정보통신부 장관이나 한국인터넷진흥원에 신고해야 한다.
특히 유심 관련 정보는 통신 가입자의 개인정보와 직결되는 민감한 데이터로, 이러한 정보 유출 사고를 조기에 발견하고도 법정 신고 기한을 지키지 않은 것은 국민의 정보보호 의무를 소홀히 한 것이라는 비판이 제기되고 있다. 정보통신망법은 의무 위반 시 과태료 부과 등의 제재 조치를 규정하고 있어, SK텔레콤은 행정적 제재를 받을 가능성도 있다.
정보보안 전문가는 "통신사의 해킹은 개인정보 유출뿐 아니라 통신망 안정성에도 영향을 미칠 수 있어 신속한 신고와 대응이 필수적"이라며 "특히 대형 통신사의 경우 수백만 가입자의 정보를 다루는 만큼 보안사고 발생 시 즉시 신고하는 것이 원칙"이라고 지적했다.
이번 사태는 초기 이상 징후 발견부터 한국인터넷진흥원 신고까지 약 2일이 소요된 것으로, SK텔레콤이 고객 정보 유출 확인 후에도 16시간 이상 신고를 지연한 부분에 대해 책임 소재가 명확히 규명되어야 한다는 목소리가 높아지고 있다. 이는 단순한 행정 절차 위반을 넘어 잠재적인 추가 피해를 방지하기 위한 조치가 지연됐다는 점에서도 문제로 지적된다.
SK텔레콤 측 해명과 후속 조치.
SK텔레콤 측은 신고 지연에 대해 "고의적인 지연 의도는 없었다"고 해명했다. 회사 측은 "사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 철저하게 파악하는 과정에서 신고가 늦어졌다"고 설명했다. 즉, 정확한 피해 규모와 원인을 파악하는 데 시간이 소요되었다는 주장이다.
그러나 전문가들은 정보통신망법상 24시간 이내 신고 의무는 피해 규모와 원인을 완전히 파악한 후에 신고하라는 것이 아니라, 침해 사고 사실을 인지한 이후 즉시 신고하도록 하는 취지라고 지적하고 있다. 사이버 공격의 특성상 초기 대응이 중요하며, 관계 당국에 신속히 신고함으로써 추가적인 피해 확산을 방지할 수 있기 때문이다.
SK텔레콤은 현재 유출된 정보의 범위와 고객 피해 가능성에 대해 조사를 진행 중이며, 피해가 확인된 고객들에게는 개별 통지와 함께 보상 방안을 마련하겠다고 밝혔다. 또한 이번 사태를 계기로 사이버 보안 관련 내부 프로세스를 전면 재검토하고, 침해 사고 발생 시 신속한 신고 체계를 구축할 계획이라고 덧붙였다.
향후 전망 및 업계 파장.
정부 관계자는 이번 사안에 대해 사실관계 확인 후 규정 위반 여부를 검토하고 필요한 조치를 취할 방침이라고 밝혔다. 이번 사건은 국내 최대 통신사의 보안 사고라는 점에서 업계 전반에 파장이 예상된다. 특히 통신사는 수많은 개인정보를 다루는 기업으로서 높은 수준의 보안 체계가 요구됨에도 불구하고 이번 사태가 발생한 것은 현행 보안 시스템에 대한 전반적인 재검토가 필요하다는 목소리가 높아지고 있다.
한편, 이번 사건을 계기로 국회에서는 사이버 보안 관련 법규 강화와 위반 시 처벌 수위 상향 조정에 대한 논의가 활발해질 전망이다. 최수진 의원은 "대형 통신사의 해킹 사고는 국가 안보와도 직결되는 심각한 문제"라며 "신고 지연에 대한 철저한 조사와 함께 재발 방지를 위한 제도 개선이 시급하다"고 강조했다.
전문가들은 이번 사태가 단순히 SK텔레콤만의 문제가 아닌 전체 정보통신 산업의 보안 의식을 제고하는 계기가 되어야 한다고 지적한다. 신속한 신고와 초기 대응이 사이버 침해 사고에서 얼마나 중요한지를 보여주는 사례로, 앞으로 기업들의 보안 침해 대응 매뉴얼이 더욱 강화될 필요가 있다는 의견이 제시되고 있다.