세계일보

SK텔레콤이 해킹 공격이 있었음을 인지한 시점이 고객 정보 탈취를 알게 된 19일보다 하루 빨랐던 것으로 드러났다. 개인정보 유출 사고를 안 시점부터 24시간 이내 당국에 신고하도록 한 관련 법을 위반한 셈이다. 정부는 SKT 고객 정보 유출 원인·규모 등을 들여다보는 민관 합동 조사에 한두달 가량 소요될 것으로 예상했다. 유심(USIM) 정보 유출로 고객 불안이 커지면서 일부에서는 SKT가 고객 유심을 무상으로 교체해야 하는 것이 아니냐는 볼멘 소리가 나온다.

◆18일 악성코드 발견…22일 외부 발표

24일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 SKT로부터 제출받은 자료에 따르면 SKT는 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다. 같은 날 오후 11시 20분 악성코드를 발견하고 해킹 공격을 받았다는 사실을 내부적으로 확인했다. 다음 날인 19일 오전 1시 40분 어떤 데이터가 빠져나갔는지 분석을 시작했다. SKT는 22시간 만인 같은 날 오후 11시 40분쯤 해커에 의한 악성 코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.

최 의원실에 보고된 SKT의 한국인터넷진흥원(KISA) 보고 시점은 20일 오후 4시 46분이다. 사건을 최초 인지한 시점인 18일 오후 6시와 45시간 차이 난다. 해킹 공격으로 판단한 18일 오후 11시 20분을 기준으로 하더라도 만 하루를 넘긴 시점에 신고했다. 정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부 장관이나 KISA에 신고해야 한다고 규정하고 있다.

KISA에서도 최 의원실에 SKT가 24시간 내 해킹 공격을 보고해야 하는 규정을 위반했다고 밝혔다. 이에 대해 SKT는 “사안의 중대성을 고려해 사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것이며 고의적인 지연 의도는 없었다”고 밝혔다.

◆“SKT 무료 유심교체해야” 여론 동요

SKT는 사고 발생 이후 제공해온 무료 유심보호서비스를 이날부터 SKT 통신망을 사용하는 알뜰폰 가입자에게로 확대했다. SKT망을 사용하는 알뜰폰 전체(14개사) 고객이 대상이며, 알뜰폰 사업자별 고객센터를 통해 가입이 가능하다. 각사별 홈페이지를 통한 가입은 순차적으로 제공할 예정이다. 14개사는 SK텔링크, 유니컴즈, 프리텔레콤, 아이즈비전, 스마텔, 큰사람, 한국케이블텔레콤, 에스원, 스테이지파이브, 토스모바일, KB국민은행, LG헬로비전, 세종텔레콤, 조이텔이다. 유심보호서비스는 타인이 고객의 유심 정보를 복제 또는 탈취해 다른 기기에서 통신 서비스에 접속하는 것을 차단해 주는 서비스다.

SKT는 로밍요금제 사용 고객의 유심보호서비스 신청 절차도 이날부터 간편하게 개선했다고 전했다. 114 고객센터의 주간 운영시간은 기존 오전 9시~오후 6시에서 오후 8시까지로 연장했다.

SKT에 따르면, 유심보호 서비스를 신청하지 않은 이용자의 경우 휴대전화 전원이 꺼지거나 비행기 모드로 변경되면 범죄에 노출될 위험이 증가한다. 휴대전화가 꺼지거나 비행기 모드로 변경되면, 이번에 빼돌린 유심정보로 복제폰을 만든 해커가 휴대폰 사용 권한을 탈취할 가능성이 있다. 휴대전화가 계속 켜져 있으면 단말기 사용 주도권이 탈취되지 않는다. SKT 측은 “휴대전화가 꺼져있더라도 비정상 인증 시도 차단 시스템(FDS)을 통해 불법 유심 기기 변경 시도를 최대한 차단하고 있다”고 밝혔다.

SKT가 고객정보 유출 사고 발표 첫 날 전체 고객에게 개별 문자 등으로 안내하지 않은 데 이어 유심보호서비스만 무상 제공하는 데 대해 일부에서는 ‘무성의하다’는 비판이 나온다. 인터넷 커뮤니티 등에서는 SKT가 무료로 유심을 교체해줘야 한다는 여론이 커지고 있다. 불안감을 이기지 못한 일부 고객은 자비로 유심을 교체하기도 했다. 앞서 2023년 LU유플러스는 개인정보 유출 사고를 확인한 후 정보가 빼돌려진 고객을 대상으로 10개월간 ‘유심 무료 교체 서비스’를 진행했다. 일부 누리꾼은 유심보호서비스 가입만으로 안심되지 않자 소액결제를 차단하고 비대면 금융거래를 제한하는 등 자구책 마련에 나서고 있다.

유상임 과학기술정보통신부 장관이 SKT의 가입자 정보 유출 사건과 관련 이날 “민관 합동조사단이 조사 중이고 조사에 한두 달 정도 걸릴 것으로 예상한다”고 말했다. 유 장관은 서울 코엑스에서 열린 ‘2025 월드IT쇼(WIS)’에 참석한 뒤 이같이 밝혔다. 유 장관은 “지난번 LG유플러스에서도 개인정보 유출이 있었고 이제 인공지능(AI) 기술로 이런 일이 잦아지고 사이버 공격이 커질 가능성이 있다”며 “회사들이 조금 더 보안에 신경을 써야 한다”고 당부했다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]