과학기술정보통신부(장관 유상임, 이하 “과기정통부”)는 SK텔레콤 침해사고 민관합동조사단(이하 “조사단”)의 조사 결과 및 SK텔레콤의 이용약관 상 위약금 면제 규정에 대한 검토결과를 7월 4일(금)에 발표하였다.
조사단은 이번 SK텔레콤 침해사고가 ①국내 1위 이동통신사의 침해사고, ②유심정보 유출로 인한 휴대폰 부정 사용 등 국민 우려 증가, ③악성코드의 은닉성 등을 고려하여 전체 서버 42,605대를 대상으로 BPFDoor 및 타 악성코드 감염여부에 대해 강도 높은 조사(4.23~6.27)를 시행하였고, 조사 과정에서 확인된 감염서버는 디지털 증거수집(포렌식) 등 정밀분석을 통해 정보유출 등 피해발생 여부를 파악하였다.
조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 디지털 증거수집(포렌식) 분석 결과, BPFDoor 27종을 포함한 악성코드 33종*을 확인하였다. 확인된 악성코드 정보는 피해확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 공유하고, 악성코드 점검 지침(가이드)을 보호나라 누리집(www.boho.or.kr)을 통해 배포(조회수 : 약 12.9만건, 6.30일 기준)하였다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI*) 등 유심정보 25종이며 유출 규모는 9.82기가 바이트(GB), 가입자 식별번호 기준 약 2,696만건이었다.
이와 관련하여 과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 제출(7월)토록 하고 SK텔레콤의 이행(8~10월) 여부를 점검(11~12월)할 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
과기정통부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단하였다. 다만, 과기정통부는 이러한 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아님을 명확히 하였다.
유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 기반 전반의 정보보호에 경종을 울리는 사고였다.”면서, “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말하였다.