[이코리아] SK텔레콤 해킹 사고로 유출된 정보가 당초 예상보다 더 많았던 것으로 밝혀졌다. 과학기술정보통신부와 한국인터넷진흥원(KISA) 등이 참여한 민관합동조사단은 19일 SKT 침해사고 조사결과 2차 발표를 진행하며 리눅스 기반 SKT 서버 약 3만여 대를 점검한 결과, 현재까지 총 23대의 서버에서 악성코드 감염이 확인됐다고 밝혔다. 또 해킹에 사용된 악성코드 역시 21종이 추가되어 총 25종인 것으로 밝혀졌다.
특히 유출된 유심 정보의 경우 해외 슬롯의 총 가입자 2,500만명을 넘는 2,695만 7,749건에 달하는 것으로 밝혀졌다. 해외 슬롯는 이에 대해 이전 가입자의 정보가 유출된 것이 아닌, 스마트워치나 IoT 등 기타 단말기에 탑재된 유심이 합쳐진 수라고 설명했다.
조사단은 현재까지 SKT의 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 진행했으며, 특히 4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 도구를 적용했다. 1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행하였으며, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사를 진행했다.
감염 서버 중 두 대는 고객 인증에 사용되는 통합 서버와 연동돼 있었으며, 이들 서버에 저장된 파일에는 이름, 생년월일, 전화번호, 이메일, IMEI 등 민감한 개인해외 슬롯가 포함돼 있던 것으로 밝혀졌다. 조사단은 해당 서버에서 약 29만 건의 IMEI 데이터가 발견됐다고 덧붙였다. 방화벽 로그기록이 남아있는 기간인 지난해 12월 3일부터 지난달 24일까지는 자료 유출이 없었다. 다만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간인 2022년 6월 15일부터 지난해 12월 2일 까지의 자료 유출 여부는 현재까지 확인되지 않았다.
조사단은 추가적인 악성코드 여부 확인을 위해 전 서버에 대한 5차 점검을 6월 말까지 지속할 방침이며 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획이라고 밝혔다.
한편, 스마트폰의 고유해외 슬롯인 IMEI의 유출 여부가 명확하지 않게 되면서, 유심 보호 서비스만으로는 충분하지 않을 수 있다는 지적도 제기되고 있다. 유심 보호 서비스는 다른 IMEI를 지닌 단말기에서 복제 유심을 차단하는 서비스지만, 해커가 IMEI를 지니고 있다면 이용자의 원래 기기를 사칭해 유심 보호를 우회할 수 있다는 우려다.
다만 조사단은 IMEI 정보가 유출되더라도 복제폰을 만드는 것은 원칙적으로 불가능하다고 해명했다. 류제명 과기정통부 네트워크정책실장은 해커가 IMEI 값을 지니고 있더라도, 단말기와 숫자를 인증하는 인증키 값은 제조사들이 지니고 있기 때문에 IMEI만으로는 복제폰을 만들수 없으며, 만들어 지더라도 통신사의 FDS(부정가입 접속방지시스템)을 통해 무력화된다는 설명이다.
현재 SK 텔레콤은 이번 사고로 흔들린 이용자 신뢰를 회복하고 보상 방안을 논의하기 위해 외부 전문가들로 구성된 ‘고객신뢰위원회’를 출범시키는 등 대응에 총력을 기울이고 있다. SKT는 19일 사이버 침해 사고로 불편과 불안을 겪은 고객의 신뢰 회복을 위해 외부 전문가로 구성된 ‘고객신뢰 위원회’를 출범시켰다고 밝혔다.
안완기 전 한국생산성본부 회장(현 한국공학대학 석좌교수)가 위원장을 맡았으며 이와 함께 신종원 전 소비자분쟁조정위원장, 손정혜 법무법인 혜명 변호사, 서울대 소비자학과 김난도 교수 등이 참여했다.
앞으로 위원회는 매 격주로 개최되며, 수시 회의를 열어 신속한 실행이 필요한 조치들에 대해 자문할 계획이다. 이와 더불어 고객 신뢰 회복을 위한 회사의 중장기 로드맵을 요구하고 위원회 검토를 거쳐 발표하기로 합의했다.
SKT는 기존 회사 내부 조직인 고객가치혁신실을 위원회 ‘간사 조직'으로 배치해 위원회의 원활한 운영을 돕고, 위원회가 자문한 조치들이 빠르게 실행될 수 있도록 지원할 계획이다. 또한 고객 신뢰 활동에 대한 고객·시장의 인식, 그에 따른 성과 측정 지표를 개발해 위원회에 제공함으로써 고객 신뢰 활동의 효과성을 지속적으로 점검하고 개선해 나간다는 방침이다. 한편 SKT는 고객신뢰위원회와는 별도로 ‘고객 가치 혁신 태스크포스(TF)’도 신설해 고객 보호, 정보 보안 등 영역에서 대응 방안을 논의 중이다.
SKT는 “고객의 관점에서 바라보며, 고객 여러분이 체감할 수 있는 실질적인 변화를 시작하겠다”며 “이번 고객신뢰 위원회 출범을 계기로 고객과 사회가 공감할 수 있는 고객가치 향상 방안이 실행될 수 있도록 회사의 모든 역량을 집중하고, 장기적으로는 이번 사태를 전화위복 삼아 회사가 한 단계 더 높은 수준으로 발전하는 계기를 만들겠다”고 밝혔다.
다만 정부의 조사 결과 발표에서 감염 서버 수와 유출 가능 항목이 당초 예상보다 더 크고 민감한 정보가 포함될 수 있다는 사실이 드러나면서, 이용자들의 불안감은 지속될 전망이다.
정치권과 소비자들 사이에서 위약금 면제나 이용자 보상에 대한 목소리가 높아지는 가운데, 실제 손해배상 청구 소송에 나서는 이용자들도 나타나고 있다. 서울중앙지법에는 지난 16일 기준 SKT 관련 손해배상 청구 소송이 약 10여 건 접수된 상황이다.
지난달 28일에는 SK텔레콤 이용자 3명이 1인당 위자료 3000만원을 지급하라는 소송을 제기했으며, 2일에는 법무법인 로고스가 SK텔레콤 이용자 75명을 대리해 1인당 위자료 30만원을 청구하는 소송을, 법무법인 거북이는 같은 날 53명을 대리해 1인당 100만원을 청구하는 소송을 제기했다. 또 16일에는 로피드법률사무소가 이용자 9천여 명의 1인당 위자료 50만원을 요구하는 손해배상 청구 소송을 제기했다.
하희봉 로피드법률사무소 대표변호사는 “이는 단순히 숫자를 넘어, 거대 통신 기업의 잘못에 대해 소비자들이 얼마나 빠르고 강력하게 연대하여 목소리를 낼 수 있는지를 보여주는 상징적인 사건”이라고 강조했다.
![[내일 날씨] 가마솥 더위 언제까지 계속되나 봤더니](https://cdn.ekoreanews.co.kr/news/thumbnail/custom/20250808/81344_101660_349_1753680850_140.jpg)
