정부 SKT 해킹사고 조사 결론이 어떻게 났나요?
과학기술정보통신부가 SK텔레콤 사이버 침해사고와 관련한 민관합동조사단의 조사 결과를 다음 주중 발표한다고 하는데요, 이번 SKT 해킹사건 어떤 결과가 나올까요?
정부에서 SKT해킹조사에 대해 결론난 부분을 말씀드리면 임의로 약정기간이 남은상황에서 해약은 정당하다고 판단했습니다. 약정위반으로 했던부분을 고객들에게 돌려줘야 합니다.
정부와 민관합동조사단이 발표한 SK텔레콤 해킹사고 최종 조사 결과는 다음과 같습니다.
사고 경위 및 원인
해킹 공격은 2021년 8월부터 시작되어, 해커가 외부와 연결된 SKT 시스템 관리망 서버에 침입해 계정정보를 탈취하고, 여러 내부 서버에 악성코드 33종(BPFDoor 등)을 심었습니다. SKT는 2022년 2월 자체 점검에서 이상 징후를 인지했으나, 외부에 알리지 않고 자체 대응에 그쳤고, 2025년 4월에야 본격적으로 피해가 드러났습니다.
유출 정보 및 피해 규모
공격을 받은 서버는 총 28대로, 이 중 일부 서버에서 유심(USIM) 정보 25종(IMSI, 전화번호 등) 약 2,700만 건이 유출되었습니다. 이는 SKT 전체 가입자 수에 해당하는 규모입니다. 일부 서버에는 단말기식별번호(IMEI), 이름, 생년월일, 전화번호 등 개인정보도 평문으로 임시 저장되어 있었던 것이 확인되었습니다.
SKT의 과실 및 법적 책임
정부는 SKT가 △계정정보 관리 체계 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등 보안 관리상의 중대한 과실이 있었음을 인정했습니다. 또한, 사고 인지 후 24시간 이내 신고 의무(정보통신망법)도 위반하여 과태료 부과 대상이 되었습니다.
위약금 면제 및 보상
정부는 SKT의 귀책사유가 명확하다고 판단, 가입자 해지 위약금 면제를 지시했습니다. 이에 따라 4월 해킹 사고 이후 통신서비스 계약을 중도 해지한 가입자에게 위약금을 돌려주고, 기존 가입자에게는 8월 통신요금 50% 할인 등 1조원대 규모의 보상안을 마련했습니다.
재발 방지 대책
정부는 SKT에 △서버 접속 다중 인증 도입 △주요 정보 암호화 △보안 인력·예산 확대 등 정보보호체계 강화와 재발방지책 이행을 요구했습니다. SKT는 7천억 원 규모의 정보보호 투자도 약속했습니다.
피해 및 추가 수사
현재까지 2차 피해(휴대폰 복제, 금융사기 등)는 공식적으로 확인되지 않았으나, 2022년 6월~2024년 12월 사이 로그 기록이 없어 이 기간 정보 유출 여부는 단정할 수 없다는 점도 밝혀졌습니다. 자료 보전 명령 위반 등 일부 서버는 포렌식이 불가능해 수사가 추가로 진행될 예정입니다.
결론적으로, SK텔레콤의 보안 관리 부실과 늑장·부실 대응이 대규모 개인정보 유출로 이어졌으며, 정부는 회사 귀책을 인정해 위약금 면제 등 강력한 후속 조치를 명령했습니다. SKT는 대규모 보상과 재발 방지책을 시행하게 됐고, 개인정보보호위원회 등 후속 제재도 예고된 상태입니다.