정부가 SK텔레콤에 약정 해지 고객의 위약금 면제를 요구한 가운데, SK텔레콤이 이를 수용하기로 했다. SK텔레콤은 해킹 사고 이후 해지한 고객뿐 아니라 이달 14일까지 해지를 신청하는 고객을 대상으로 위약금을 면제하고, 통신요금 50% 할인과 데이터 제공 등 보상책을 마련했다.
과학기술정보통신부는 SK텔레콤 조사단의 조사 결과 및 이용약관 상 위약금 면제 규정에 대한 검토결과를 4일 발표했다. 조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 식별번호(IMSI) 등 유심정보 25정보이며 유출 규모는 9.82GB, IMSI 기준 약 2696만 건이다.
조사단은 SK텔레콤에 대해 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등 3가지 문제가 있는 것으로 봤다. 조사단에 따르면 해커의 공격으로 SK텔레콤 내부 서버에 악성코드가 심어진 시점을 2021년 8월6일로 파악됐다.
이어 SK텔레콤은 2022년 2월23일 특정 서버에서 비정상 재부팅이 발생함에 따라 악성코드에 감염된 서버를 발견하고 조치했으나 신고를 하지 않아 은폐 의혹도 받는다. 유출 정보 중 유심 복제에 활용될 수 있는 중요 정보인 유심 인증키 값도 암호화하지 않고 저장했다.
이번 침해사고 대응과정에서는 침해사고 신고 지연 및 미신고, 자료 보전 명령 위반 등 망법상 준수 의무 2가지를 위반했다. SK텔레콤은 침해사고를 인지한 후 24시간 이내에 신고를 하지 않았다. 게다가 서버 2대는 포렌식 분석이 불가능한 상태로 임의 조치 후 제출했다. 이에 정부는 수사기관에 수사를 의뢰하며 정보통신망법 상 3000만원 이하의 과태료를 부과할 예정이다.
특히 SK텔레콤 이용약관의 위약금 면제 규정을 보면 ‘회사의 귀책사유로 인해 해지할 경우’로 규정하고 있다. 조사단은 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려해 위약금 면제를 요구했다.
유상임 과기정통부 장관은 “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다.
이날 SK텔레콤 민관합동조사단의 조사결과 발표 직후 SK텔레콤은 서울 중구 SK텔레콤 본사 T타워에서 긴급 이사회 등을 거쳐 기자간담회를 개최했다. SK텔레콤은 이 같은 내용이 포함된 ‘책임과 약속’ 프로그램을 발표했다.
유영상 SK텔레콤 대표는 “통렬하게 반성하고 참회하는 심정으로 이 자리에 섰다”며 “SK텔레콤은 민관합동조사단의 조사 결과를 무겁게 받아드리며 시정 조치 사항은 물론 재발 방지를 위한 모든 책임을 지겠다”고 사과했다.
이날 유 대표는 정보보호 강화를 위한 중장기 로드맵 마련, 고객이 납득할 수 있는 규모감 있는 보상, 다양한 고객 그룹을 모두 아우르는 혜택 구성 등을 약속했다.
특히 SK텔레콤은 약정 고객 해지 위약금 면제를 결정했다. 위약금은 약정 기간 내 계약을 중도 해지할 경우 제공 받은 할인 혜택의 전부 혹은 일부를 반환하는 금액이다. 단말 지원금 반환금 또는 선택약정할인 반환금이 해당된다.
단말기 할부금은 단말기 자체를 할부로 구매한 대금으로, 통신 서비스 약정과 별개의 구매 계약이기 때문에 위약금 면제 대상에 해당하지 않는다.
유 대표는 “위약금 면제는 회사 입장에서 큰 결정이고 큰 손실이 예상된다”며 “그럼에도 불구하고 이사회에서 정부 발표 결과, 고객 신뢰 등 장기적인 영향에서 종합적으로 평가해 시행하기로 한 것”이라고 말했다. 또 “2분기와 3분기에 실적에 영향을 미칠 것”이라고 덧붙였으나 위약금으로 인한 손실 규모는 답을 피했다.
SK텔레콤은 전 고객을 대상으로 8월 통신요금을 50% 할인한다. SK텔레콤 망을 사용하는 알뜰폰 사업자와 협의해 알뜰폰 고객에게도 지원할 예정이다. 8월부터 연말까지 매월 데이터 50GB를 전 고객에게 제공한다.
이와 함께 T멤버십을 통해 8월부터 매월 50% 이상 큰 폭의 할인을 제공하는 등 5000억원 규모의 고객 감사 패키지를 마련했다.
위약금과 5000억원 규모의 혜택 제공 등을 인한 SK텔레콤의 영업이익 감소는 예정된 수순이라는 관측도 있다. 이날 오후 SK텔레콤은 정정 공시를 통해 2025년 연결기준 매출 목표를 17조8000억원에서 17조원으로 하향 조정했다. 또 영업이익 전망도 전년 대비 개선에서 감소로 전환했다.
SK텔레콤은 정보보호 강화조치와 함께 향후 5년간 7000억원에 달하는 적극적인 투자로 글로벌 최고 수준의 정보보호 체계를 갖추겠다는 ‘정보보호혁신안’도 발표했다.
유 대표는 “SK텔레콤이 보안이 강한 기업으로 거듭날 것을 약속드린다”며 “국립표준기술연구소(NIST)의 사이버 보안 프레임워크를 기준으로 (보안 체계를) 앞으로 3년 후 국내 최고 수준, 5년 후에는 글로벌 톱 레벨에 도달할 것”이라고 전했다.
SK텔레콤은 고객 보호를 위한 고객 안심 패키지 강화 계획을 밝혔다. 최신 사이버 위협까지 대응 가능한 글로벌 톱 수준 모바일 단말 보안 솔루션(ZIMPERIUM)을 모든 고객에게 1년간 무상으로 제공할 예정이다. 해당 솔루션은 준비기간을 거쳐 올 하반기 중 고객에게 제공된다.
또 이번 사이버 침해 사고로 인한 유심 복제 피해 발생 시 필요한 경우 외부 기관과 함께 피해 보상 프로세스를 지원하는 ‘사이버 침해 보상 보증 제도’를 도입한다. 사이버 침해 관련 기업 보험 한도를 기존 10억원에서 1000억원으로 늘렸다.
다만 SK텔레콤이 2022년 해킹을 은폐했다는 의혹에 대해 사과를 했으나 직원의 책임으로 돌렸다. 유 대표는 “오늘 조사단 발표에 대해 저희는 진정으로 잘못했다고 반성한다는 말씀을 드린다”며 “긴급히 사실관계 등 내부 조사를 진행하고 있는 중”이라고 말했다.
이어 “2022년 악성 코드 발견 당시 담당부서가 내부의 업무 처리 방향에 따라 악성IP를 긴급하게 대응한 것”이라며 “담당자가 법적 신고 대상으로 미처 생각하지 못한 것”이라고 설명했다.
