서울 종로구 SK텔레콤 대리점 전경. [뉴스1]
4일 과학기술정보통신부가 발표한 SK텔레콤(SKT)SKT 유심 해킹 사태에 대한 민관합동조사단(조사단)의 최종 조사 결과에 따르면 SKT가 4년 전인 2021년 8월부터 해킹 공격을 받았고, 2022년 해킹 흔적을 발견할 기회가 있었음에도 신고 없이 자체 조치로 사고를 막을 기회를 놓쳤다는 사실이 정부 조사 결과 확인됐다.

정부는 추가 피해 가능성에 대해서는 낮다고 판단했다.
 류제명 과기정통부 제2차관은 이날 브리핑에서 “(1·2차 조사와 마찬가지로) 유심 복제로 인한 추가 피해 가능성은 발견하지 못했다”면서 “29만 건의 IMEI(단말기 고유식별번호) 등이 저장돼 있던 고객 관리망의 경우도 로그 기록이 있는 기간(약 5개월)에는 유출 정황이 없었다”고 말했다.
 다만 로그 기록이 남아 있지 않은 기간(약 2년 반)의 유출 여부를 확인하는 것은 불가능한 상황이다.
 류 차관은 이에 대해 “그런(유출 여부를 확인할 수 없는) 불안감 때문에 사업자(SKT)도 유심보호서비스와 FDS(비정상 인증 차단 시스템)고도화 작업을 서둘렀던 것으로 안다”고 설명했다.

해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 추정된다.
 외부 인터넷과 연결된 시스템 관리망 내 서버를 통해 최초 침투했다.
 해당 서버엔 핵심 네트워크인 HSS(음성통화인증) 관리 서버로 들어갈 수 있는 계정 정보가 암호화되지 않은 채로 저장돼 있었다.
 유심 복제에 활용될 수 있는 ‘인증키’ 정보도 암호화하지 않고 저장되고 있었다.
 해당 정보는 세계이동통신사업자협회(GSMA)가 암호화를 권고하고 있으며 타 통신사는 암호화해 저장하고 있다.

침해 사고가 발생했음에도 신고 없이 부실하게 조치한 점도 드러났다.
 조사단에 따르면, SKT는 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생했지만 당국에 신고 없이 자체 조치했다.
 정보통신망법은 침해 사고 인지 후 즉시(2024년 8월부터는 ‘24시간 내’) 당국에 신고해야 한다는 의무를 규정하고 있다.
 자체 조치를 하는 과정에서도 감염된 HSS 관리서버에 대한 로그기록 6개 중 1개만 확인해 해킹 발견의 골든타임을 놓쳤다.
 류 차관은 “SKT가 나머지 5개의 로그기록도 점검했다면, 당시 이미 BPF도어 악성코드에 감염되어 있었던 HSS 관리서버에 공격자가 접속한 것을 확인할 수 있었을 것”이라고 말했다.

정보통신망법 위반 사항도 있다고 지적했다.
 과기정통부는 해킹 사고 이후 SKT의 신고가 규정보다 하루 정도 더 늦어진 것에 대해 3000만원 이하의 과태료를 부과할 수 있다고 밝혔다.
 또 자료 보전 명령에도 SKT가 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다며 수사기관에 수사를 의뢰할 방침이라고 밝혔다.

과기정통부는 SKT에 재발 방지 대책에 따른 이행 계획을 7월 중 제출토록 할 계획이다.
 SKT는 이날 정부 브리핑이 끝난 직후 “이사회 긴급 논의를 통해 4월 19일부터 7월 14일 사이 SKT 가입을 해지한 고객들에 대해 위약금을 전액 면제한다”고 밝혔다.
 이날 SKT 주가는 전 거래일 대비 3200원(5.56
%
) 하락한 5만4400원에 거래를 마쳤다.