SK텔레콤이 해킹 사고로 번호이동한 가입자에 대해 위약금을 면제해야 한다는 정부의 요청을 수용하기로 결정했다.
SKT는 침해사고 발생전인 4월 18일 기준 약정 고객 가운데 침해사고 이후 해지한 고객 및 7월 14일까지 해지 에정인 고객을 대상으로 위약금을 면제한다고 4일 밝혔다.
위약금은 약정기간 내 계약을 중도 해지할 경우, 제공받은 할인 혜택 전부 또는 일부를 반환하는 금액으로 단말지원금 반환금, 선택약정할인 반환금 등이 해당된다. 면제는 납부한 위약금에 대해 환급하는 형태로 진행될 예정이며, 자세한 내용은 T월드 홈페이지를 통해 안내된다.
SKT의 이같은 결정은 과기정통부가 민관 합동조사단 조사결과에 따라 이번 해킹사고를 SKT 과실로 판단하면서 위약금 면제를 해줘야 한다고 요구했기 때문이다.
조사단은 SKT 해킹사태에 대해 해커의 공격이 2021년부터 이뤄졌으며, SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않으면서 사태를 키웠다고 판단했다. 조사단의 점검결과, SKT 전체 서버 4만2605대 가운데 28대가 악성코드에 감염됐고, 확인된 악성코드는 33종이었다. 유출 정보는 전화번호와 가입자 식별번호(IMSI) 등 유심정보 25종이다. 유출 규모는 IMSI 기준 약 2696만건이다.
침투는 4년 전인 2021년 8월부터 시작됐다. 서버 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 2021년 8월 6일 설치한 것으로 조사됐다. 공격자는 해당 서버 내 정보를 활용해 시스템 관리망 내 다른 서버에 접속한 것으로 추정된다.
조사단은 SKT의 계정정보 관리부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡을 사고 원인으로 파악했다. 앞서 SKT는 지난 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생해 점검하는 과정에서 악성코드에 감염된 서버를 발견 후 조치했지만 정보통신망법에 따른 신고 의무는 이행하지 않았다.
당시 회사는 이번 사고에서 감염이 확인된 HSS 관리 서버에 비정상 로그인 시도가 있었던 정황도 발견했지만 해당 서버에 대한 로그기록 6개 가운데 단 1개만 확인해 공격자가 서버에 접속한 기록을 놓쳤다.
정부는 SKT가 침해사고 대응과정에서 침해사고 신고 지연 및 미신고, 자료보전 명령 위반 등 정보통신망법상 준수 의무 2가지를 위반한 것으로 보고 SKT 이용약관에 따라 회사의 귀책 사유로 판단해 위약금을 면제해야 한다는 판단을 내렸다.
SKT는 정부 판단에 따라 향후 고객 안심 패키지, 정보보호 혁신안, 고객 감사 패키지, 약정고객 해지 위약금 면제를 포함한 '책임과 약속' 프로그램을 수행할 예정이며 이에 대한 상세 내용을 전 고객에게 별도 안내 메시지로 안내할 계획이다.
유영상 SKT 대표는 "이번 침해사고에 대해 다시 한 번 깊이 사과 드리고, 고객이 안심하고 맡길 수 있는 수준의 정보보호 체계 구축에 최선을 다하겠다"며 머리를 숙였다.
한편 SKT는 해킹 사태로 올해 매출이 8000억원 감소할 것이라고 이날 공시했다.
Copyright @ NEWSTREE All rights reserved.
