2500만 가입자를 혼란에 빠뜨린 SK텔레콤(SKT) 해킹 사고에 대한 민관합동 조사 결과가 나왔다. 사건 발생부터 사후 대처까지 SKT의 기업 윤리는 보이지 않고, 가입자는 시쳇말로 ‘봉’이었다. SKT는 서버 해킹 당한 사실을 당국에 신고해야 하는 의무를 이행하지 않았다. 가입자에게 하루에도 수십 차례 광고 문자를 보내면서도 해킹된 건 알리지 않아 사실상 감췄다. 유심칩이 2400만 개 이상 부족해 ‘대란’이 불보듯 뻔한데도 적당히 넘어가려 했다. 그러면서도 가입자들의 통신사 교체는 위약금을 내세워 막았다.

과학기술정보통신부가 4일 발표한 민관 합동 조사단 결과를 보면 해커가 SKT 내부 서버에 악성코드를 심은 시점은 2021년 8월6일이다. 중간 조사에서 밝힌 것보다 10개월 가량 이르다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 악성코드를 설치했다. SKT는 2022년 2월23일 자체 점검에서 이를 발견했지만 당국에 신고하지 않았다. 지난 4월 해킹 피해가 최초로 파악됐을 때도 마찬가지다. 고객 이탈 등을 우려해 질질 끌다가 법정 기한(24시간 내)을 넘겼다. 당국 조사를 앞두고는 해킹된 서버를 일부러 망가뜨리기까지 했다. 현재까지 SKT 가입자의 개인정보 유출이나 휴대전화 복제 피해는 없는 것으로 알려졌다. 그러나 악성코드 감염 시점부터 지난해 12월2일까지는 로그 기록이 없어 유출 여부를 단언하기 어렵다.

정부는 이날 SKT 사이버 침해 사고에 위약금 면제 규정을 적용할 수 있다는 판단을 내놓았다. 지당한 결정이다. 기업의 잘못으로 가입자가 피해를 봤는데 위약금을 요구하는 것은 상식적으로도 말이 안 된다. 깨알같이 작은 글씨로 씌어 있는 통신사 이용약관에도 ‘회사의 귀책 사유’로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시돼 있다. SKT도 뒤늦게 고객 보상 및 정보보호 강화 대책을 내고, 위약금 면제도 받아들이기로 했다.

해킹과 개인정보 유출은 기업과 업종을 가리지 않고 다반사로 일어나고 있다. 예스24·써브웨이 등에서 서버 해킹이 발생했고, 명품 브랜드 디오르·티파니·카르티에에 이어 루이뷔통도 해킹으로 고객 정보 유출이 발생했다. 인공지능(AI) 기술 발전은 사이버 공격의 자동화 등 새로운 보안 위협을 야기하고 있다. 이번 기회에 정부는 국가 핵심 시설 전반에 대해 보안 점검을 하고, 기업은 해킹 예방부터 유사시 대책까지 정보 보안 체계를 철두철미하게 구축해야 한다.

류제명 과기정통부 제2차관이 4일 정부서울청사에서 SK텔레콤 해킹 사고 최종 조사결과를 발표하고 있다. 정효진 기자