SK텔레콤이 2021년부터 해커 공격을 받았음에도 보안 조치를 제대로 하지 않아 지난 4월 2700만 개인정보가 유출된 대형 사태를 키운 것으로 드러났다. 정부는 SK텔레콤 해킹 사고로 계약을 해지하는 이용자들에게 위약금을 면제해야 한다는 강경 조치를 주문했고 SKT 측은 이를 받아들였다. SKT는 위약금 면제에 이어 정보보호에 7000억원 투자, 다음 달 통신요금 50% 할인 조치 등을 발표했다. 국내 제1 통신사의 보안 부재 후폭풍이 심상찮을 조짐이다.
과학기술정보통신부 등 민관 합동 조사단이 어제 발표한 SKT 서버 4만2600대 전수 조사 결과에 따르면 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일이었다. 지난 5월 중간 조사 결과 발표에서 최초 감염 시점으로 지목된 2022년 6월보다 10개월가량 빨랐다. 해커는 시스템 관리망 내 서버에 접속한 뒤 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. SKT의 대응은 너무나 허술했다. 회사가 아이디, 비밀번호 등의 계정 정보를 암호체가 아닌 평문으로 저장해 놓았고 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않았다. 해커는 서버망을 유린했다. 결국 사측은 지난 4월 중순 2700만 가입자 전원의 전화번호, 가입자식별번호(IMSI) 등 유심정보 25종(9.82GB)이 유출되는 피해를 입었다.
정부는 사고 책임이 회사에 있고 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다고 발표했다. 해킹 사태 초기에 가입자의 뚜렷한 피해가 없고 시장을 교란시킬 우려가 크다는 점에서 위약금 면제 조치는 과하다는 지적이 없지 않았다. 하지만 명백히 회사의 귀책 사유가 확인된 만큼 회사의 책임을 다하는 건 당연하다. SKT가 신속히 대책 강구에 나선 건 그래서 다행이고 땅에 떨어진 브랜드 이미지 개선에 도움이 될 것이다.
하지만 이번 사태를 SKT만의 문제로 볼 수 없다. 당장 조사단은 누가 무슨 이유로 해킹했는지를 끝내 찾지 못했다. 중국 해커 집단 소행으로 유력하다는 판단만 있을 뿐이다. 로그 기록이 남아있지 않은 2년 반 동안에는 유출 여부를 확인도 못했다. 한국 해킹 대응력의 부재나 다름없다. 최근 예스24, 써브웨이, 디올 등 IT업계를 넘어 전산업으로 해킹 피해가 속출 중이다. 글로벌 사이버전이 가열되는 추세다. 개별 기업이 아닌 국가안보 차원에서 해킹 방지와 보안 산업 육성을 위한 제도적 보완이 시급하다.