SK텔레콤의 해킹 사태로 인해 번호를 이동하려는 고객들에게 위약금을 물어서는 안 된다는 정부의 판단이 나왔다.

또 정부는 침해 사고 대응 과정에서 자료보전 명령을 따르지 않았다며 수사를 의뢰하기로 했다.

과학기술정통부가 구성한 민관합동조사단은 4일 SK텔레콤 해킹 관련 최종 조사 결과를 발표했다.

SK텔레콤 로고

조사 결과에 따르면 SK텔레콤은 유심 정보 보호에 미흡했고, 이 과정에서 정보통신망법을 위반한 사실이 확인됐다.

정부는 이에 이번 해킹 사고에 SK텔레콤의 과실이 있다고 보고 위약금 면제가 가능하다고 판단했다.

통신 3사는 일정 기간 업체를 바꾸지 않겠다고 약정하는 고객에게 휴대전화 구입비 지원이나 이용 요금 할인 등을 제공하고 있다.

SK텔레콤은 이용 약관에서 ‘회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 납부할 의무가 면제된다’고 규정하고 있다.

유영상 SK텔레콤 대표는 지난달 국회 청문회에서 “1인당 위약금을 최소 10만 원으로 본다면, 위약금과 매출까지 고려해 3년간 7조 원 이상의 손실이 예상된다”고 밝혔다.

조사단은 SK텔레콤의 서버(4만 2605대)를 전수조사한 결과 감염 서버가 28대, 악성코드가 33종으로 확인됐다고 밝혔다.

지난달 2차 조사(감염 서버 23대, 악성코드 25종) 발표보다 더 많았다.

유출된 정보 종류는 전화번호, 가입자식별번호 등 25종으로 같았다.

최초 감염 시점은 처음 알려진 2022년 6월보다 10개월이 빠른 2021년 8월로 분석했다.

조사단은 SK텔레콤이 계정 정보를 부실하게 관리해 감염이 가능했고, 2022년 2월에도 침해 사고가 있었음에도 미흡하게 대응해 이번 해킹 사고를 막을 수 있는 기회를 놓쳤다고 지적했다.

또 유심 복제에 활용될 수 있는 유심인증키 값을 암호화하지 않고 저장했다.

정보통신망법 위반 사항도 지적했다.

정보통신망법에 따르면 침해 사고를 인지한 뒤 24시간 이내 과기정통부나 한국인터넷진흥원에 신고해야 한다.

SK텔레콤이 늦게 신고해 과태료 부과 대상이라는 판단이다. 정보통신망법 76조에 따라 3000만 원 이하의 과태료를 부과할 수 있다.

또 과기정통부가 침해 사고 원인을 분석하기 위해 자료 보전을 명령했으나 SK텔레콤이 서버 2대를 포렌식 분석이 불가능한 상태로 만들어 조사단에 제출했다. 이 부분은 수사기관에 수사를 의뢰할 방침이라고 밝혔다.