관련종목▶
과기정통부, 민관합동조사단 결과 발표
감염서버 28대, 악성코드 33종 확인
유심정보 25종 9.82GB 유출
보안 문제 잇단 발견에 SKT 귀책 판단
SKT 다수 관리 부실에 위약금 면제 불가피
4일 과학기술정보통신부가 서울 광화문 정부서울청사에서 발표한 SK텔레콤 침해사고 민관합동조사단의 조사 결과 및 SK텔레콤의 이용약관 상 위약금 면제 규정에 대한 검토 결과에 따르면 과기정통부는 △이번 침해사고에서 SK텔레콤의 과실이 발견된 점 △SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.
과기정통부는 '회사의 귀책 사유ʾ로 이용자가 서비스를 해지할 경우 위약금 납부 의무가 면제된다'는 SK텔레콤 이용약관을 근거로 위약금 면제 규정 적용 여부 검토를 위해 5개 기관에 법률 자문을 의뢰한 결과, 4개 기관이 이번 침해사고를 SK텔레콤의 과실로 판단했으며, 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이어서 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.
과기정통부는 이번 침해사고와 관련 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등 SK텔레콤에 관리 부실 문제가 있는 것으로 파악했으며, 정보통신망법을 위반한 사실도 확인했다. 과기정통부는 안전한 통신서비스 제공을 위한 유심정보 보호에 대해 일반적으로 기대되는 사업자의 주의 의무를 다하지 못했을 뿐만 아니라 관련 법령이 정한 기준을 미준수한 SK텔레콤에 과실이 있는 것으로 판단했다.
조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가바이트(GB), 가입자식별키(IMSI) 기준 약 2696만건이었다.
조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나, 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것을 확인했다. 다만, 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다.
KT·LG유플러스와 달리 개인정보 암호화 안해
과기정통부는 SK텔레콤에 정보 관리 미흡 문제에 대한 재발 방지대책을 요구했다. SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해사고에서 감염이 확인된 HSS 관리서버 계정정보를 타 서버에 평문으로 저장했고, 조사단은 공격자가 동 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다. 과기정통부는 서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화해 저장하는 한편, 서버 접속을 위한 다중인증 체계를 도입해야 한다고 지적했다.
SK텔레콤은 지난 2022년 2월에도 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나, 정보통신망법에 따른 신고 의무를 이행하지 않았다.
SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견해 점검했으나, 해당 서버에 대한 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다.
이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPF도어 악성코드를 확인하지 못했다. 또 침해사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견해 조치하지도 못했다.
유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값을 암호화한 KT·LG유플러스와 달리 SK텔레콤은 암호화하지 않고 저장했다.
SK텔레콤은 침해사고를 인지한 후 24시간 내 과기정통부 또는 KISA에 신고해야 하나, 24시간이 지난 후 신고했다. 또 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다.
과기정통부는 SK텔레콤에 침해사고 원인 분석을 위해 자료 보전을 명령했으나, SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다. 과기정통부는 자료보전 명령 위반에 대해 수사기관에 수사를 의뢰할 예정이다.
조사단은 이번 침해사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과, SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실도 확인했다.
SK텔레콤은 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하고 있으나, 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 이를 발견하지 못했다. 또 전화번호의 마스킹 규칙이 담긴 정보를 CDR이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안관리가 미흡했다.
SK텔레콤은 협력업체로부터 공급받은 소프트웨어(SW)를 면밀히 점검하지 않고 내부 서버 88대에 설치해 해당 SW에 탑재된 악성코드가 유입됐다. 또 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 함에도 보안 업무를 IT영역(자산의 57%)과 네트워크 영역(자산의 43%)으로 구분하고 CISO는 IT 영역만 담당하고 있다.
SK텔레콤은 정보 유출 당시 유심정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나, 유심보호서비스에는 약 5만명만 가입한 상태였다. FDS 1.0도 유심정보 유출로 인한 모든 유심복제 가능성을 차단하는데는 한계가 있었다.
과기정통부는 위약금 면제 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고에 해당되지 않는다고 강조했다.
과기정통부는 이달 중 SK텔레콤에 재발방지 대책에 따른 이행계획을 제출토록 하고 SK텔레콤의 이행(8~10월) 여부를 점검(11~12월)할 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
mkchang@fnnews.com 장민권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지