[파이낸셜뉴스] 정부가 중국 숏폼(짧은 영상) 어플리케이션 '틱톡'의 개인정보보호법과 정보통신망법 위반 가능성에 대한 점검에 착수했다. 7일 정보통신업계와 관계 당국 등에 따르면 방송통신위원회는 틱톡이 정보통신망법을 위반했다고 보고 조만간 한국인터넷진흥원(KISA)을 통해 조사에 착수할 계획이다. 개인정보위 역시 최근 틱톡의 개인정보보호법 위반 사항 관련 자료를 검토하는 등 점검을 시작했다. 자료 검토 등을 통해 법 위반 사항이 있으면 절차에 따라 본격적으로 조사에 착수할 것으로 예상된다. 틱톡은 마케팅·광고 수신 동의에 해당하는 부분을 개인정보 처리방침 동의 항목에 묶인 '필수 동의' 대신 '선택 동의'로 하지 않고, 이용자 가입 즉시 강제로 광고 동의가 이뤄져 문제가 되고 있다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제50조는 '누구든지 전자적 전송매체를 이용해 영리 목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다'고 규정하고 있다. 정보통신망법을 위반하면 3000만원 이하 과태료가 부과될 수 있다. 또한 틱톡과 틱톡 라이트는 가입 시 서비스 약관과 개인정보 처리 방침의 세부 내용을 볼 수 있는 방법을 공개하지 않고 있어 개인정보 수집 동의를 받는 방법과 관련된 개인정보보호법 제22조 1항 위반 의혹을 받고 있으며, 개인정보 해외 유출을 방지하기에 미흡하다는 지적도 있다. 틱톡이 한국 이용자 개인정보를 이전할 수 있는 외국 기업에는 중국공산당이 기업 내 당 위원회를 통해 영향을 미칠 수 있는 베이징(北京) 여우주쥐 네트워크, 베이징 지탸오 네트워크, 상하이(上海) 쑤이쉰퉁 일렉트로닉 등 모회사 중국 바이트댄스(字節跳動) 그룹의 법인들도 포함돼 있지만 이들 기업 명단은 개인정보 처리방침 페이지에서 여러 단계를 이동해야 확인할 수 있다. bng@fnnews.com 김희선 기자

[파이낸셜뉴스] 불성실함을 이유로 직원에게 해고를 통보하면서 여러차례 문자나 전화를 했더라도 일련의 이어지는 내용이라면 공포심이나 불안감을 조성한 것으로 볼 수 없다는 대법원 판단이 나왔다. 대법원 2부(주심 천대엽 대법관)는 정보통신망법 위반·폭행 혐의로 기소된 A씨 상고심에서 벌금 150만원을 선고한 원심을 깨고 사건을 대구지법에 돌려보냈다고 29일 밝혔다. 한 회사의 대표이사인 A씨는 불성실한 근무태도 등을 이유로 B씨에게 해고 통보를 했다. 밤에 갑작스럽게 해고 통보를 받은 B씨가 반발하자 7차례의 문자와 전화통화 2번으로 공포감과 불안감을 유발했다는 혐의로 기소됐다. A씨가 보낸 메시지는 "두 번 다시 보지 말자" "회사 근처에서 얼쩡거리지 말라"는 등의 내용이었고, 이어진 두 차례의 전화에서는 해고를 수용하라는 내용이었다. 정보통신망법은 '공포심이나 불안감을 유발하는 부호·문언·음향 등을 반복적으로 상대방에게 도달하도록 하는 내용'을 정보통신망을 통해 유통하는 것을 금지한다. 또 해고를 두고 갈등이 이어지면서 A씨는 B씨를 밀쳤다가 폭행 혐의까지 추가됐다. 1심과 2심은 A씨 혐의를 모두 유죄로 보고 벌금 150만원을 선고했다. 2심은 " A씨가 피해자에게 총 9회에 걸쳐 욕설을 하거나 피해자를 위협하는 내용으로 공포심이나 불안감을 유발하는 문자메시지를 보내고 전화를 했다"며 "그 죄책이 가볍지 않다"고 봤다. 그러나 대법원 판단은 달랐다. 대법원은 폭행 혐의는 유죄로 봤으나 정보통신망법 혐의는 유죄로 볼 수 없다고 판단했다. A씨 전화통화의 전체적인 내용을 보면 B씨를 타이르면서 해고 통지의 수용과 이행을 촉구하는 내용이 대부분이었고, 7번의 문자는 3시간 동안 총 3개의 메시지를 발송한 것으로 정보통신망법에 규정된 '반복적 행위'로 단정할 수 없다는 것이 대법원 판단이다. 특히 문자 사이에 약가의 시간 간격이 있다고 해도 이어지는 내용이면 하나의 문자로 봐야 한다고도 지적했다. 대법원은 "원심의 판단에 정보통신망법 제74조 제1항 제3호 위반죄의 성립에 관한 법리를 오해한 위법이 있다"며 파기환송했다.    yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 성희롱, 여성비하 발언을 일삼는 유료 팟캐스트 방송에 출연해 논란에 휩싸인 김남국 더불어민주당 경기 안산단원을 지역구 후보가 시만단체로부터 피소당했다. 사법시험준비생모임(사준모)은 김 후보를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 서울서부지검에 고발했다고 14일 밝혔다. 사준모는 해당 팟캐스트 제작자인 이동형 미르미디어전략연구소 대표이사와 공동 진행자인 박지형 변호사도 같은 혐의로 고발했다. 사준모는 이 팟캐스트 방송이 청소년유해매체물임을 표시하지 않고 미성년자도 한 평당 500원을 지불하고 접근할 수 있게 하는 등 정보통신망법 73조2호를 위반의 소지가 있다고 주장했다. 정보통신망법 42조에 따르면 청소년유해매체물을 제공하려는 자는 대통령령으로 정하는 표시방법에 따라 그 정보가 청소년유해매체물임을 표시해야 한다. 이를 위반할 경우 벌칙 조항인 73조2호에 따라 2년 이하의 징역 또는 2000만원 이하의 벌금에 처해진다. 앞서 같은 지역구에 출마한 박순자 미래통합당 후보는 전날 김 후보가 팟캐스트 '쓰리연고전'(연애고자전)에 공동진행자로 20회 이상 출현해 여성의 성 비하, 성 희화화, 성품평에 참여했다고 지적했다. 한편 논란에 휩싸인 김 후보 측은 "입장문을 내고 당시 방송 내용 중 불편함을 느끼신 분들께 유감을 표한다"며 "박 후보의 말처럼 (방송에서) 문제 삼고 있는 발언들을 제가 직접 한 바 없다"고 해명한 바 있다. 이어 해당 팟캐스트의 수위가 높아 결국 자진 하차했다고 덧붙였다. banaffle@fnnews.com 윤홍집 기자

지난 2017년 4월 고객 개인정보 3만 1000여건 유출사고에 대한 책임으로 지난해 재판에 넘겨진 빗썸과 대주주 A씨에 대한 1심 선고공판이 연기됐다. 빗썸 측은 “법원에서 선고공판을 연기한 사항이라 이유는 확인이 어렵다”는 입장이다. 다만 법조계에선 “피고인측에서 자신에게 유리한 증거를 추가로 신청했을 가능성이 있다”며 “재판부가 빗썸 혐의에 대한 심리 확정을 완료하지 못한 것으로 보인다”고 판단했다. 지난 2017년 4월 고객 개인정보 유출에 대한 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 위반 혐의로 지난해 불구속 기소된 빗썸에 대한 1심 선고공판이 2월로 연기됐다. 관련업계와 법조계에 따르면 법원은 22일로 예정됐던 빗썸의 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 위반 혐의에 대한 1심 선고공판을 2월로 연기했다. 지난해 6월 서울동부지법 사이버수사부는 빗썸과 대주주 A씨를 정보통신망법 위반 혐의로 불구속 기소했다. A씨는 지난 2017년 4월 개인용 컴퓨터(PC)에 보관돼 있던 고객 성명, 전화번호, 이메일, 암호화폐 거래내역 등 개인정보 3만 1000여건을 유출당했다. 당시 해커는 악성코드를 심은 파일을 이메일로 보낸 뒤 A씨 PC를 해킹한 것으로 알려졌다. 검찰 측은 빗썸이 사용자 정보를 암호화하지 않은 채 개인PC에 저장해 피해를 키웠다고 판단했다. 또 악성 프로그램을 방지할 수 있는 백신을 설치하지 않는 등 기본적인 보안 조치를 취하지 않은 것도 회사 측에 책임이 있다고 봤다. 당시 빗썸은 거래소 사용자가 보유하고 있던 70억원의 암호화폐도 탈취당했다. 이는 국내 4대 암호화폐 거래소에서 일어난 첫 대규모 암호화폐 부정인출 사고였다. 해당 탈취사고에 대해 검찰 측은 앞서 발생한 개인정보 유출과 연관성을 제기했다. 하지만 이에 대해 빗썸 측은 “암호화폐 출금 시 회원 명의로 된 휴대폰으로 수신된 인증번호나 일회용 비밀번호 생성기(OTP) 인증을 요구하는 보호조치를 취하고 있다”며 “개인정보 유출과 암호화폐 탈취는 서로 무관하다”고 반박하기도 했다. 조원희 법무법인 디라이트 변호사는 “정보통신망법은 인터넷을 통해 사업하는 업체는 모두 적용 대상”이라며 “다만 빗썸 같은 경우 정보통신망법이 처음 만들어질때 생각지 못했던 유형이기 때문에 규제대상으로 볼 수 있는지에 대한 대한 논란도 남아있다”며 “현재로서는 법원이 사이버 보안 등 기본 법리적 틀 내에서 판단할 것으로 본다”고 말했다.

기획재정부가 한국재정정보원 재정분석시스템(OLAP)에서 보관되고 있던 비인가 행정자료를 무단 유출한 의혹을 받고 있는 심재철 자유한국당 의원을 추가 고발하기로 했다. 사실확인 없이 대통령비서실의 예산집행 내역을 공개하고 의혹을 제기하는 등 국가안위에 영향을 줄 수 있는 행정정보를 반복해 공개하고 있다는 것이다. 이와 별개로 정부는 재정정보 관리실태 감사 착수에 나서는 한편, 전 국가기관의 예산집행 적정성 여부를 전면 재점검키로 했다.  김용진 기획재정부 2차관은 27일 정부세종청사에서 열린 '한국재정정보원의 비인가자료 유출 관련 입장' 관련 브리핑에서 "심 의원실 보좌진 3명에 대한 고발에도 불구하고 심 의원은 무단으로 획득한 자료를 즉각 정부에 반환하지 않는 것은 물론 오히려 그 자료를 사실을 제대로 확인도 않은 채 기자회견 등을 통해 제3자에게 공개하고 있다"고 밝혔다. 앞서 재정정보원은 OLAP의 이상 과부하 및 오작동 원인을 분석하던 중 심 의원실 보좌진들이 지난 9월5~12일경 집중적으로 대통령비서실, 국무총리실, 기획재정부, 대법원, 헌법재판소, 법무부 등 37개 정부기관의 행정자료를 190여회에 걸쳐 47만건에 이르는 행정정보를 열람 및 다운로드한 사실을 확인했다. 통상 국회의원실이 재정분석시스템 아이디 요청 시 재정정보원은 공개가 가능한 부분까지만 열람할 수 있도록 권한을 제한해 제공하지만 심 의원실 보좌관들이 부여된 권한으로 열람이 불가능한 자료를 열람하고 내려받았다는 것이다. 이에 기재부가 즉각 반납을 요청했으나 심 의원실은 응하지 않았다고 설명했다. 반면 심 의원 측은 정부로부터 발급받은 ID로 정상접속했고, 백스페이스 조작을 통해 뜬 화면에 있는 정보에 접근, 다운로드했다는 점에서 불법이 아니라고 반발하고 나섰다. 이번 정부의 검찰 고발이 정부 업무추진비 내역을 은폐하기 위한 것이라고 주장하고 있다. 이에 김 차관은 "취득한 비인가자료는 단순히 클릭 두 번으로 접근이 가능한 자료가 아니라 5단계 이상의 복잡한 과정을 거쳐야 하며 이 과정에서 불법성을 인지할 충분한 기회가 있었다"고 강조했다. 또 심 의원이 제기한 의혹이 모두 사실무근이라고 해명했다. 지난 18일 심 의원이 청와대 지출내역에 '단란주점'이 포함돼 있다고 주장했지만 조사 결과 사실이 아니라고 설명했다. 이어 21일 심 의원이 해외순방 시 수행원들이 업무추진비를 사적 오용하고 한방병원에서 쓴 것으로 거짓 기재했다고 주장한 것과 관련해선 "실제 뉴델리 호텔에서 식사한 것이 맞고 카드사 잘못으로 국제, 국내 업종 코드상 단순 불일치 사항이었던 것으로 판명됐다"고 언급했다. 정부는 '정보통신망에서 처리, 보관되는 타인의 비밀 누설과 행정정보의 권한없는 처리를 금지'한 정보통신망법 및 전자정부법을 위반한 행위라고 설명했다. 김 차관은 "불법적인 자료의 외부 유출 및 공개가 계속 반복돼 심재철 의원을 사법기관에 추가 고발하는 것이 불가피하게 됐다"고 말했다. 그는 이어 "심재철 의원실의 자료습득 및 처리 과정에서의 불법성 여부는 사법당국의 조사를 통해 최종적으로 밝혀질 것"이라며 "사법당국의 조사에 적극적으로 협조해 주시고, 비정상적으로 취득한 자료는 즉시 반환해주길 바란다"고 당부했다. 이와함께 정부는 재정정보원 재정정보 관리실태에 대한 감사에 착수했다. 필요 시 책임자 문책을 단행하겠다는 방침이다. 아울러 재정분석시스템을 포함한 모든 재정정보시스템을 재점검키로 했다.  김 차관은 "유출된 자료 뿐만 아니라 전 국가기관의 예산집행 적정성 여부를 전면 재점검하고, 작은 문제점이라도 발견되면 감사원과 협의해 해당부처의 예산집행 실태에 대한 감사원 감사를 요청하고 결과에 따라 엄정히 책임을 묻겠다"면서 "재정분석시스템의 자료 유출로 심려를 끼쳐드린 점에 대해 국민들께 죄송하다"고 말했다. mkchang@fnnews.com 장민권 기자

[파이낸셜뉴스] SK텔레콤이 정보유출 피해를 받은 가입자에 대해 위약금 면제 조치를 포함한 대규모 고객 보상안을 내놨다. 통신요금 인하를 포함한 5000억원 규모 '고객감사패키지', 7000억원 규모의 정보보호 투자를 단행한다. 이번 해킹 사태가 SK텔레콤 보안 관리 부실로 발생했다는 정부 조사 결과가 나온 직후다. 정부가 기간통신사업자 등록 취소 등 행정조치까지 시사하며 위약금 면제 이행을 압박하자 대규모 손실을 감수하고, 정부안을 수용하기로 한 것으로 분석된다. 5000억원 규모 고객감사패키지 이행 SK텔레콤은 4일 △침해사고로 인한 고객의 피해를 원천 차단하는 ‘고객 안심 패키지’ △향후 5년간 총 7000억원 규모의 투자가 이뤄지는 ‘정보보호 혁신안’ △2400만 SK텔레콤 고객이 모두 이용 가능한 5000억원 규모의 ‘고객 감사 패키지’ △‘약정고객 해지 위약금 면제’ 등 개인정보 유출 피해 보상방안인 '책임과 약속' 프로그램을 발표했다. 유영상 SK텔레콤 대표는 이날 서울 을지로 본사에서 기자간담회를 열고 "민간합동조사단의 최종 조사 결과를 무겁게 받아들이며, 시정조치 사항은 물론 재발 방지를 위한 모든 대책을 책임지고 신속히 이행해 나가겠다"고 말했다. SK텔레콤은 침해사고 발생 전 약정 고객 중 침해사고 이후 해지한 고객 및 7월 14일까지 해지 예정인 고객을 대상으로 위약금을 면제한다. 위약금은 약정 기간 내 계약을 중도 해지할 경우, 제공 받은 할인 혜택의 전부 혹은 일부를 반환하는 금액으로 단말 지원금 반환금 또는 선택약정할인 반환금이 해당된다.  정보보호 투자 규모를 향후 5년간 7000억원으로 확대한다. 국내 통신·플랫폼 기업 중 최대 수준이다. 이를 통해 3년 후 국내 톱, 5년 뒤 글로벌 톱 수준의 보안기업으로 도약한다는 목표다. 또 최고 수준 정보보호 인력을 영입하고 내부 전담인력을 육성하는 등 정보보호 전문 인력을 기존 대비 2배로 확대한다. 보안 기술·시스템 강화를 위한 투자액도 대폭 늘린다. 정보보호 관련 유수 대학과 연계한 인재육성과 산학연계 프로그램 운영, 유망 정보보호 스타트업 발굴 및 지원 등에 쓰이는 정보보호 기금 100억원을 출연한다. 정보보호 관련 거버넌스도 대폭 개편한다. SK텔레콤은 정보보호최고책임자(CISO) 조직을 최고경영자(CEO) 직속으로 격상해 책임과 역할을 강화하는 한편, 이사회에 보안 전문가를 영입하고 회사 보안 상태를 평가하고 개선하는 레드팀을 신설한다. SK텔레콤 자사 고객 및 SK텔레콤 망을 사용하는 알뜰폰 고객을 포함한 약 2400만명에게 5000억원 규모의 고객감사패키지 혜택도 제공하기로 했다. 8월 통신요금을 50% 할인하고, 매월 데이터 50기가바이트(GB)를 추가 제공한다. 별도 신청 필요 없이 8월부터 연말까지 전 고객에게 자동 적용된다. SK텔레콤은 침해사고 이후 해지한 고객이 해지일로부터 6개월 이내 재가입 할 경우에는 별도 절차 없이 가입 연수, 멤버십 등급을 원상복구해 제공한다. 이번 보상안 발표로 SK텔레콤은 대규모 손실이 불가피할 전망이다. SK텔레콤은 이날 올해 연결 기준 매출 전망치를 기존 17조8000억원에서 17조원으로 하향 조정했다고 공시했다. 유 대표는 "위약금 면제는 회사 입장에서 큰 결정이고, 큰 손실이 예상된다"면서 "그럼에도 이사회에서 정부 조사 결과, 법률적 의견, 고객 신뢰 등을 종합적으로 판단해 결정했다"고 말했다. 정부, SKT 귀책사유 인정  앞서 과학기술정보통신부는 이날 오전 서울 광화문 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단의 조사 결과 및 SK텔레콤의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다. 과기정통부는 이번 침해사고가 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 결론내렸다. SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려한 결과다. 과기정통부는 '회사의 귀책 사유ʾ로 이용자가 서비스를 해지할 경우 위약금 납부 의무가 면제된다'는 SK텔레콤 이용약관을 근거로 위약금 면제 규정 적용 여부 검토를 위해 5개 기관에 법률 자문을 의뢰한 결과, 4개 기관이 이번 침해사고를 SK텔레콤의 과실로 판단했다. 4개 기관은 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이어서 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 과기정통부는 이번 침해사고와 관련 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등 SK텔레콤에 관리 부실 문제가 있는 것으로 파악했으며, 정보통신망법을 위반한 사실도 확인했다. 과기정통부는 안전한 통신서비스 제공을 위한 유심정보 보호에 대해 일반적으로 기대되는 사업자의 주의 의무를 다하지 못했을 뿐만 아니라 관련 법령이 정한 기준을 미준수한 SK텔레콤에 과실이 있는 것으로 판단했다. 조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가바이트(GB), 가입자식별키(IMSI) 기준 약 2696만건이었다. 조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나, 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것을 확인했다. 다만, 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다. mkchang@fnnews.com 장민권 박성현 기자

[파이낸셜뉴스] SK텔레콤 유심정보 유출 사태가 회사 귀책사유에 해당돼 가입자의 위약금을 면제해야 한다는 정부 조사 결과가 나왔다. 유심 복제에 활용될 수 있는 유심 인증키를 암호화하지 않고 저장하거나 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 조사단에 제출하는 등 다수의 SK텔레콤의 과실이 있다는 판단이다. SK텔레콤이 위약금 면제 시 향후 3년간 약 7조원의 손실이 발생한다고 추정한 만큼 실적에 치명타가 될 것이란 전망이 나온다. SKT 다수 관리 부실에 위약금 면제 불가피4일 과학기술정보통신부가 서울 광화문 정부서울청사에서 발표한 SK텔레콤 침해사고 민관합동조사단의 조사 결과 및 SK텔레콤의 이용약관 상 위약금 면제 규정에 대한 검토 결과에 따르면 과기정통부는 △이번 침해사고에서 SK텔레콤의 과실이 발견된 점 △SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다. 과기정통부는 '회사의 귀책 사유ʾ로 이용자가 서비스를 해지할 경우 위약금 납부 의무가 면제된다'는 SK텔레콤 이용약관을 근거로 위약금 면제 규정 적용 여부 검토를 위해 5개 기관에 법률 자문을 의뢰한 결과, 4개 기관이 이번 침해사고를 SK텔레콤의 과실로 판단했으며, 유심정보 유출은 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이어서 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 과기정통부는 이번 침해사고와 관련 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등 SK텔레콤에 관리 부실 문제가 있는 것으로 파악했으며, 정보통신망법을 위반한 사실도 확인했다. 과기정통부는 안전한 통신서비스 제공을 위한 유심정보 보호에 대해 일반적으로 기대되는 사업자의 주의 의무를 다하지 못했을 뿐만 아니라 관련 법령이 정한 기준을 미준수한 SK텔레콤에 과실이 있는 것으로 판단했다. 조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가바이트(GB), 가입자식별키(IMSI) 기준 약 2696만건이었다. 조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나, 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것을 확인했다. 다만, 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다. KT·LG유플러스와 달리 개인정보 암호화 안해과기정통부는 SK텔레콤에 정보 관리 미흡 문제에 대한 재발 방지대책을 요구했다. SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해사고에서 감염이 확인된 HSS 관리서버 계정정보를 타 서버에 평문으로 저장했고, 조사단은 공격자가 동 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다. 과기정통부는 서버 등에 비밀번호 기록 및 저장을 제한하고 부득이할 경우 암호화해 저장하는 한편, 서버 접속을 위한 다중인증 체계를 도입해야 한다고 지적했다. SK텔레콤은 지난 2022년 2월에도 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나, 정보통신망법에 따른 신고 의무를 이행하지 않았다. SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견해 점검했으나, 해당 서버에 대한 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다. 이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPF도어 악성코드를 확인하지 못했다. 또 침해사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견해 조치하지도 못했다. 유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값을 암호화한 KT·LG유플러스와 달리 SK텔레콤은 암호화하지 않고 저장했다. SK텔레콤은 침해사고를 인지한 후 24시간 내 과기정통부 또는 KISA에 신고해야 하나, 24시간이 지난 후 신고했다. 또 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다. 과기정통부는 SK텔레콤에 침해사고 원인 분석을 위해 자료 보전을 명령했으나, SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다. 과기정통부는 자료보전 명령 위반에 대해 수사기관에 수사를 의뢰할 예정이다. 조사단은 이번 침해사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과, SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실도 확인했다. SK텔레콤은 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하고 있으나, 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 이를 발견하지 못했다. 또 전화번호의 마스킹 규칙이 담긴 정보를 CDR이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안관리가 미흡했다. SK텔레콤은 협력업체로부터 공급받은 소프트웨어(SW)를 면밀히 점검하지 않고 내부 서버 88대에 설치해 해당 SW에 탑재된 악성코드가 유입됐다. 또 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 함에도 보안 업무를 IT영역(자산의 57%)과 네트워크 영역(자산의 43%)으로 구분하고 CISO는 IT 영역만 담당하고 있다. SK텔레콤은 정보 유출 당시 유심정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심보호서비스를 운영 중이었으나, 유심보호서비스에는 약 5만명만 가입한 상태였다. FDS 1.0도 유심정보 유출로 인한 모든 유심복제 가능성을 차단하는데는 한계가 있었다.  과기정통부는 위약금 면제 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고에 해당되지 않는다고 강조했다. 과기정통부는 이달 중 SK텔레콤에 재발방지 대책에 따른 이행계획을 제출토록 하고 SK텔레콤의 이행(8~10월) 여부를 점검(11~12월)할 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다. mkchang@fnnews.com 장민권 기자

[파이낸셜뉴스] 변호사들의 이메일을 무단 열람해 얻은 미공개 정보로 주식을 거래한 뒤 수십억원의 부당이득을 챙긴 혐의로 기소된 대형 법무법인 전 직원들이 첫 재판에서 혐의를 일부 인정했다. 1일 법조계에 따르면 서울남부지법 형사합의13부(김상연 부장판사)는 자본시장법 위반과 정보통신망법 위반 혐의로 구속기소된 광장 전 직원 A씨(39)와 B씨(40)에 대한 첫 공판기일을 진행했다. 검찰에 따르면 이들은 전산실에서 근무하던 중 2021년 9월부터 2023년 12월까지 약 2년 동안 변호사의 이메일 계정에 무단 접속해 기업들의 공개매수, 유상증자 일정 등 미공개 정보를 취득해 각각 18억2000만원, 5억2700만원 상당의 부당이득을 챙긴 혐의로 재판에 넘겨졌다. 이들은 5개 종목 관련 정보를 알아내 미리 주식을 매수했다가 정보가 공개돼 주가가 상승하면 매도해 수익을 거둔 것으로 드러났다. A씨 측은 공소사실을 일부 인정했다. A씨 측 변호인은 "자본시장법 위반과 정보통신망법 위반 혐의에 대해 사실관계를 인정한다"면서도 "위법적인 방법으로 직무상 취득한 정보를 활용했는지에 대해서는 법리적인 판단을 구한다"고 말했다. 일부 종목은 미공개 정보를 활용하지 않고 범행 이전부터 합법적으로 알게 된 정보를 토대로 매입·매도했다고 주장했다. B씨 측 변호인 역시 "사실 관계는 인정한다"면서도 "부당 이득을 산정하는 방식은 현저히 잘못됐다"고 말했다. 검찰은 지난 1월 한국타이어 지주회사인 한국앤컴퍼니 공개매수 과정에서 미공개 중요 정보 이용 행위 금지 위반 의혹이 있다는 금융위원회 증권선물위원회의 통보를 받고 수사를 시작했다. 피고인들이 계획적으로 변호사들의 이메일 계정 비밀번호를 알아내 약 2년간 계정에 무단으로 접속한 사실이 수사 과정에서 파악됐다. 다음 기일은 오는 8월 19일 오전 11시께 열린다. jyseo@fnnews.com 서지윤 기자

[파이낸셜뉴스]  이준석 개혁신당 의원에게 성 상납을 제공했다고 주장한 김성진 아이카이스트 대표가 구치소에서 경찰 조사를 받았다. 26일 서울경찰청 공공범죄수사대는 경기 의왕 서울구치소에 수감 중인 김 대표를 접견하고 이 의원에 대한 고소·고발 경위에 대해 조사했다. 앞서 김 대표는 2013년 이 의원에게 성 상납을 제공했다고 주장해왔다. 그는 대선에 출마한 이 의원이 성 상납 의혹을 '거짓', '공작'이라고 주장해 허위 사실을 유포했다며 지난달 정보통신망법 위반(명예훼손), 공직선거법 위반(허위사실 유포) 혐의로 고소·고발했다. 그러나 검찰은 지난해 이 의원이 김 대표에게 성 상납을 받았다는 증거가 충분치 않다고 판단한 바 있다. 한편 김 대표는 해당 사건과는 별개로 사기 혐의 등의 혐의로 서울구치소에서 복역 중이다. newssu@fnnews.com 김수연 기자

[파이낸셜뉴스]  배우 이영애가 윤석열 전 대통령의 부인 김건희 여사와 연관돼 있다는 취지로 주장한 유튜버에게 벌금형이 선고됐다. 25일 법조계에 따르면 의정부지법 형사21단독(김경수 부장판사)은 정보통신망법 위반(명예훼손) 혐의로 약식기소된 유튜브 채널 '열린공감TV' 전 대표 정천수에 대해 벌금 700만원 약식 명령을 내렸다. 약식기소는 검찰이 정식 공판을 거치지 않고 서면 심리를 통해 벌금이나 과태료를 내려달라고 법원에 약식명령을 청구하는 것을 뜻한다. 앞서 이영애는 지난 2023년 9월 이승만 대통령기념관 건립을 위해 이승만 대통령기념재단에 5000만원을 기부했다. 이를 두고 열린공감TV가 '이영애의 기부가 윤 대통령 부부와 연관돼 있다'는 취지로 보도하자 이에 대해 이영애는 허위 사실이라며 서울 용산경찰서에 정씨를 고소했다. 사건을 넘겨받은 경기 양주경찰서는 불송치 결정을 내렸으나 이영애 측의 이의신청에 따라 검찰에 송치됐다. 의정부지검은 지난해 6월 불기소 결정을 내렸고, 이에 이영애 측이 다시 불복해 항고했다. 이후 상급청인 서울고검은 같은 해 8월 재기수사 명령을 내리고 직접 사건을 수사했으며, 서울고검 형사부는 지난 3월 약식기소를 결정했다. newssu@fnnews.com 김수연 기자