과기부 장관, SK텔레콤 유심 해킹 늑장 신고에 강경 입장 표명.
유상임 과학기술정보통신부 장관이 SK텔레콤의 유심(USIM) 정보 유출 사태와 관련하여 늑장 신고 행위에 대해 "합당한 처벌을 받을 것"이라고 강경한 입장을 밝혔다. 29일 국회 예산결산특별위원회 종합 정책 질의에 참석한 유 장관은 국민의힘 김성원 의원의 'SK텔레콤이 침해 사실을 숨기려고 하다가 마지못해 소극적인 대응을 한 것 아니냐'는 질의에 명확한 처벌 의지를 표명했다.
SK텔레콤은 해킹 공격을 인지한 후 법정 신고 시한인 24시간을 넘긴 시점에 한국인터넷진흥원(KISA)에 침해 사실을 신고했다. 현행법은 개인정보 보안 침해 사고가 발생하면 24시간 이내에 관계 기관에 보고하도록 명시하고 있어, 이를 위반한 SK텔레콤의 행위는 법적 처벌 대상이 될 수 있다. 유 장관은 이 사태로 인해 "국민들에게 불안과 우려를 끼친 점에 대해서 소관 부처 장관으로서 송구스럽다"며 공식 사과의 뜻을 전했다.
사태의 심각성에도 불구하고 유 장관은 국민들의 불안을 해소하기 위해 "휴대전화 불법 복제 가능성은 없다는 점은 명확하다"고 강조했다. 또한 "방지 시스템을 통해서 접속 못 하도록 지금 모니터링하고 있으며, 불법적으로 부정 가입할 수 있는 시도를 막고 있다"고 덧붙여 정부 차원의 대응이 진행 중임을 설명했다.
1차 조사 결과, 유출 정보 범위와 추가 피해 가능성 제한적.
과기정통부는 29일 SK텔레콤 사고에 대한 1차 조사 결과를 발표하며, 단말기 고유 식별번호(IMEI) 유출이 없었다고 밝혔다. 이는 스마트폰 불법 복제의 가능성이 낮다는 것을 의미한다. 현재까지 확인된 유출 정보는 가입자 전화번호, 가입자 식별키(IMSI) 등 유심 복제에 활용될 수 있는 정보 4종과 SK텔레콤 관리용 정보 21종인 것으로 파악됐다.
하지만 이러한 조사 결과에도 불구하고, SK텔레콤의 늑장 신고로 인해 초기 대응을 위한 골든타임을 놓쳤다는 비판이 정치권에서 제기됐다. 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원은 보도자료를 통해 SK텔레콤의 대응에 문제를 제기했다.
SK텔레콤은 신고 이틀 전에 해킹 공격 사실을 파악했고 신고일에 이미 개인정보 누출까지도 확인한 상태였지만 파일 유출 의심 정황이라고 축소 신고한 것이다.
최 의원의 지적에 따르면, SK텔레콤은 해킹 신고 접수 당시 피해 지원 서비스, 후속 조치 지원, 중소기업 정보보호 지원 개인정보 제공, 사이버 위협정보 분석 공유 시스템(C-TAS) 개인정보 제공 등을 비롯한 모든 당국 기술 지원을 원하지 않는다고 밝혔다. 이는 SK텔레콤이 사태의 심각성을 축소하거나 외부 개입을 최소화하려는 의도로 해석될 수 있는 부분이다.
보안 대책 실효성 의문...유영상 대표이사 30일 국회 청문회 출석 예정.
SK텔레콤은 이상 금융거래를 막기 위해 비정상 인증 시도 차단(FDS) 기능을 극대화해 적용하고 있다고 밝혔으나, 이 대책의 실효성에 대한 의문도 제기되고 있다. 최수진 의원에 따르면, 한국인터넷진흥원(KISA)은 "현재 실효성을 검증 중이며 민간 기업이 개발한 기능이 모든 비정상 인증 시도를 차단한다고 정부 입장에서 보장할 수 없다"는 입장을 밝혔다.
이는 SK텔레콤이 제시한 보안 대책이 모든 위협을 완벽하게 방어할 수 있다는 보장이 없음을 의미한다. 따라서 사용자들은 여전히 개인정보 유출로 인한 2차 피해 가능성에 주의를 기울일 필요가 있다. 전문가들은 최근 통신사를 사칭한 피싱 문자나 전화에 주의할 것을 권고하고 있으며, 의심스러운 연락이 오면 공식 고객센터를 통해 확인할 것을 당부하고 있다.
한편, 이번 사태의 책임을 묻기 위해 SK텔레콤 유영상 대표이사는 30일 열리는 국회 과학기술정보방송통신위원회 청문회에 출석할 예정이다. 청문회에서는 유심 정보 유출 사태의 전체 경위와 늑장 신고 이유, 향후 보안 대책 등에 대한 집중적인 질의가 이루어질 것으로 예상된다. 이번 청문회는 대기업의 정보보안 책임과 개인정보 보호 의무에 대한 사회적 논의를 불러일으킬 것으로 보인다.