SK텔레콤(SKT)의 대규모 유심(USIM) 정보 유출 사태에 대해 정부가 SKT 측의 명백한 과실이 있었다고 결론 내렸다. SKT는 조사 결과 발표 직후 대국민 사과와 함께 향후 5년간의 정보보호 혁신안과 고객 직접 보상을 포함하는 1조2000억원 규모의 파격적인 ‘책임과 약속’ 프로그램을 구체적으로 발표했다.

과학기술정보통신부가 꾸린 민관합동조사단은 4일 정부서울청사에서 최종 조사 결과를 발표하고 "SKT가 유심 정보 보호를 위한 주의 의무를 다하지 않았고 관련 법령도 일부 준수하지 않아 사고에 과실이 있다"고 밝혔다.

이번 침해 사고는 SKT 이용약관상 위약금 면제가 가능한 ‘회사의 귀책 사유’에 해당한다고 명시했다.

조사단에 따르면 SKT는 유심 복제에 악용될 수 있는 핵심 인증키(Ki) 값을 암호화하지 않은 채 저장했으며, 서버 계정 정보 관리도 부실했던 것으로 드러났다. 공격자는 이를 통해 2021년 8월부터 장기간에 걸쳐 시스템에 접근, 지난 4월 18일 전화번호와 가입자 식별번호(IMSI) 등을 포함한 9.82GB(IMSI 기준 약 2696만 건) 규모의 정보를 유출했다. 

2022년의 악성코드 발견 사실 미신고, 이번 사고의 지연 신고 등 대응 과정의 총체적 문제점도 지적받았다. 유상임 과기정통부 장관은 "이번 사고는 국내 통신 인프라 전반에 경종을 울린 사건"이라며 "SKT는 확인된 취약점을 철저히 조치하고 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 강조했다. 정부는 SKT로부터 7월까지 재발 방지 대책을 제출받아 이행 상황을 지속적으로 점검할 계획이다.

조사 결과 발표 직후 SKT는 긴급 이사회를 열고 고객 신뢰 회복 방안을 내놨다. 

사진=연합뉴스
사진=연합뉴스

유영상 SKT 사장은 "민관합동조사단의 조사 결과를 엄중하게 받아들이며 고객과 사회에 진심으로 사과드린다"며 고개를 숙였다. 그는 이어 "믿고 기다려주신 고객에 대한 감사와 이번 사고에 대해 책임을 다하고자 하는 마음, 보안이 강한 회사로 거듭나겠다는 약속의 의미로 이번 프로그램을 준비했다"고 밝히며, 향후 정보보호 체계 구축에 최선을 다할 것을 다짐했다.

SKT가 발표한 ‘책임과 약속’ 프로그램은 크게 네 가지로 구성되며, 총 1조2000억원이 투입된다.

우선 고객의 불안감을 해소하기 위한 즉각적인 조치를 강화한다. 모든 고객에게 글로벌 최상위 수준의 모바일 단말 보안 솔루션인 '짐페리움(ZIMPERIUM)'을 1년간 무상 제공한다. 나아가 이번 사태로 인한 유심 복제 피해 발생 시 외부 기관과 함께 보상 절차를 지원하는 ‘사이버 침해 보상 보증 제도’를 도입하고, 사이버 침해 관련 기업 보험 한도를 기존 10억 원에서 1000억 원으로 대폭 상향하여 만일의 사태에 대한 안정적인 보상 체계를 마련했다.

중장기적으로는 보안 체계를 근본적으로 뜯어고친다. 향후 5년간 총 7000억 원을 정보보호 분야에 투자하여 전문 인력을 현재의 2배로 확대하고 기술 시스템을 고도화할 계획이다. 이와 별도로 100억 원의 정보보호 기금을 출연해 국내 정보보호 생태계 활성화에도 기여한다.

지배구조도 개편한다. 정보보호최고책임자(CISO) 조직을 CEO 직속으로 격상시켜 독립성과 권한을 강화하고, 이사회에 보안 전문가를 영입한다. 또한, 상시적으로 시스템의 취약점을 점검하고 개선하는 공격팀, 이른바 '레드팀(Red Team)'을 신설해 내부 검증 체계를 강화한다. SKT는 이를 통해 5년 내 글로벌 최고 수준의 보안 체계를 구축하겠다는 목표를 세웠다.

믿고 기다려준 고객들을 위한 5000억 원 규모의 직접적인 보상안도 마련됐다. 오는 7월 15일 0시 기준 SKT 및 SKT망 알뜰폰 고객 약 2400만 명 전원에게 8월 통신요금(월정액+사용량)의 50%를 별도 신청 없이 자동 할인한다.

8월부터 올해 연말까지 5개월간 매월 데이터 50GB를 모든 고객에게 추가로 제공한다. 더불어 T멤버십 혜택을 대폭 강화해, 8월부터 매월 3개 인기 제휴사를 선정해 50~60% 수준의 파격적인 '릴레이 할인'을 연말까지 진행한다. 도미노피자, 뚜레쥬르, 파리바게뜨 등이 참여할 예정이다.

정부 조사단의 판단에 따라 약정 고객이 해지할 경우 위약금도 면제한다. 사고 발생일(4월 18일) 이전 약정 가입 고객 중 이미 해지했거나 오는 7월 14일까지 해지하는 고객이 대상이다. 단말기 할부금은 제외되며 기납부한 위약금은 신청 시 환급받을 수 있다. 해지 고객이 6개월 내 재가입할 경우 가입 연수나 멤버십 등급을 복구해주고, T월드를 통해 신청하면 최대 3년간 가입 정보를 보관해 추후 복원할 수 있도록 했다.

유영상 SK텔레콤 CEO는 “믿고 기다려주신 고객에 대한 감사와 이번 사고에 대해 책임을 다하고자 하는 마음, 보안이 강한 회사로 거듭나겠다는 약속의 의미로 이번 ‘책임과 약속’ 프로그램을 준비했다”며, "이번 침해사고에 대해 다시 한 번 깊이 사과 드리고, 고객이 안심하고 맡길 수 있는 수준의 정보보호 체계 구축에 최선을 다하겠다”고 밝혔다.

키워드

#이코노믹리뷰 #최진홍 #고도화 #SKT #MS