[딜사이트경제TV 김수연 기자] SK텔레콤 해킹 사태로 통신사를 옮기는 가입자에게 위약금을 물어서는 안 된다는 정부 조사 결과가 나왔다. 정부가 SK텔레콤의 귀책 사유를 인정한 것으로, 하반기 실적 악화가 가시화되는 모양새다.

4일 과학기술정보통신부가 구성한 민관합동조사단은 SK텔레콤 해킹 관련 최종 조사 결과를 발표했다. 조사단은 "SK텔레콤은 유심 정보 보호를 위한 주의의무를 다하지 않았고, 관련 법령을 미준수했으므로 이번 침해사고에 과실이 있는 것으로 판단했다"며 "SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다"고 밝혔다.

다만 과기정통부의 이러한 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아니라는 점을 명시했다.

조사단에 따르면 SK텔레콤의 서버 4만2605대 중 감염 서버가 28대, 악성코드가 33종으로 확인됐다. 지난달 2차 조사(감염 서버 23대, 악성코드 25종) 발표보다 확대됐다. 유출된 정보 종류는 전화번호, 가입자식별번호 등 25종으로 같았다. 유출 규모는 9.82GB(기가바이트)로, 가입자 식별번호 기준 약 2696만건이다. 최초 감염 시점에 대해서는 2021년 8월로 추정했다.

이를 두고 조사단은 SK텔레콤이 서버 계정 정보를 부실하게 관리했고, 2022년 2월에도 침해 사고가 있었음에도 미흡하게 대응했다고 지적했다. 또 유심 복제에 활용될 수 있는 유심 인증키(Ki) 값을 암호화하지 않았던 것을 이번 해킹 사태의 원인으로 꼽았다.

이외 정보통신망법 위반 사항도 드러났다. 정보통신망법에 따르면 침해 사고를 인지하고 24시간 이내 과기정통부나 한국인터넷진흥원에 신고해야 한다. 하지만 SK텔레콤은 늦장 신고를 했다. 이에 조사단은 정보통신망법 76조에 따라 3000만원 이하의 과태료를 부과할 예정이라 밝혔다. 더불어 과기정통부가 침해 사고 원인 분석을 위해 자료 보전을 명령했으나, SK텔레콤이 서버 2대를 포렌식(디지털 증거 수집) 분석이 불가능한 상태로 임의조치 후 조사단에 제출한 것에 대해선 수사를 의뢰할 방침이다.

조사단은 "이번 침해 사고 조사 과정에서 SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실을 확인했다"며 "전화번호 보안 관리뿐 아니라 협력업체 공급 소프트웨어에 대한 보안 체계도 미흡한 것으로 조사됐다"고 했다.

한편 이번 조사 결과로 SK텔레콤이 하반기 실적 방어에 큰 어려움을 겪을 것으로 전망된다. 지난 4월 발생한 유심 해킹에 불안을 느껴 다른 통신사로 이탈한 SK텔레콤 가입자는 두 달간 65만명에 이른다. 여기에 더해 정부 결정으로 위약금을 면제받은 고객들이 추가로 이탈할 경우 SK텔레콤은 치명적인 타격을 입을 것으로 예측된다.

앞서 지난달 유영상 SK텔레콤 대표는 국회 청문회에서 "1인당 위약금을 최소 10만원으로 본다면, 위약금과 매출까지 고려해 3년간 7조원 이상의 손실이 예상된다"고 밝힌 바 있다.