SK텔레콤이 해킹 공격을 받은 사실을 법정시한을 넘겨 신고한 것으로 알려진 가운데 신고를 접수한 한국인터넷진흥원(KISA)이 사건 발생 시간을 고의로 수정했다는 의혹이 제기됐다. 유심 정보 유출로 국민들이 불안해하고 있는데 당국의 대응이 적절했다고 보기 어렵다는 지적이 나온다.
27일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 KISA에 제출받은 자료에 따르면 SK텔레콤은 지난 20일 오후 4시46분에 인터넷 해킹사건 관련 침해사고 신고를 제출했다. 하지만 해당 신고서에선 SK텔레콤의 해킹 인지시간이 20일 오후 3시30분으로 기록돼 있는 것으로 밝혀졌다.
SK텔레콤은 지난 18일 오후 6시9분에 사내 시스템 데이터가 움직였다는 사실을 최초로 발견했고, 같은 날 오후 11시20분에 악성코드를 발견해 해킹 공격을 받았다는 사실을 내부에 공유했다. 19일 오전 1시40분에는 어떤 데이터가 빠져나갔는지 분석을 시작했다.
SK텔레콤이 실제 해킹 사실을 인지한 시점은 18일 오후 11시20분인데도 KISA에는 이를 20일 오후 3시30분이라고 40시간 지난 시점으로 제출돼 있는 것으로 나타났다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법)에 따르면 정보통신서비스 제공자는 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인과 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다.
SK텔레콤이 KISA에 제출한 신고자료 대로 처리하면 SK텔레콤은 20일 오후 3시30분에 해킹을 인지해 1시간16분만인 오후 4시46분에 신고를 한 것으로 나와 있게 된다. 즉 늦장 신고가 아니며 법 위반으로 인한 과태료 3000만원을 납부할 필요가 없게 된다.
최 의원은 SK텔레콤 측이 신고서 접수 당시에 해킹 인지 시점을 18일 오후 11시20분으로 제출하려고 했지만, KISA가 오히려 20일 오후 3시30분으로 신고하도록 안내한 것을 확인했다고 설명했다. KISA는 해킹 사고 인지시간에 대해 기업에서 사고 조사 후 명확하게 침해사고라고 판단하고 내부 보고한 시간이라는 입장이다. 하지만 SK텔레콤은 이미 18일 오후 11시20분에 해킹 사실을 내부에 보고한 것으로 밝혀졌다 .
이에 대해 KISA는 최 의원 측에 “SK텔레콤의 해킹 신고를 접수하는 과정에서 회사 보안 책임자가 신고를 하자고 결정한 시점을 사고 인지 시점으로 보고 사건 접수 실무자가 시간을 정정한 것”이라며 “일종의 미스 커뮤니케이션(잘못된 소통)이 있었다”고 해명했다.
하지만 최 의원은 “SK텔레콤이 18일 밤 해킹을 인지하고 내부 공유까지 한 것이 명백한 데도 책임자가 신고를 결정한 시점이 사고 시점이라며 고쳐준 것은 납득하기 어렵다”면서 KISA의 무마 의혹을 제기했다. 최 의원은 “SK텔레콤이 침해사고 발생 시 이를 알게 된 때부터 24시간 이내에 신고하도록 한 규정을 어기자 KISA 측이 알아서 무마해주려 한 것 아닌지 의심된다”고 주장했다.
KISA가 사건 접수 과정에서 석연치 않은 행위를 한 것뿐 아니라, SK텔레콤이 가입자 유심 정보를 탈취당한 사건의 심각성에 비해 더디게 대응한 것도 문제라고 지적했다. 과학기술정보통신부가 SK텔레콤에 침해 사고 확인을 위한 자료 보전, 문서 제출을 공문으로 요청한 시점은 21일 오후 2시6분으로, 신고 접수 뒤 약 21시간이 지나고 나서였다. 현장 상황 파악과 대응 방안 논의를 위해 KISA가 전문가를 파견한 것은 이보다 6시간이 지난 21일 오후 8시로 신고 접수 28시간 만이었다. 파견지도 실제 서버 해킹이 일어난 분당 센터가 아닌 서울 중구 SK텔레콤 본사였는데, 이에 대해 KISA는 원격으로도 상황 파악이 가능했기 때문이라고 전했다.
최 의원은 “‘디지털 신분증’ 역할을 하는 유심 정보 유출로 불안해하는 초유의 사건에 대해 당국의 대응이 신속하고 적절했다고 보기 어렵다”고 지적했다.
