최수진 의원 "SKT, 해킹 확인하고도 '의심 정황' 축소 신고…지원 거부" 비판

[이코노믹데일리] SK텔레콤이 최근 발생한 유심 해킹 사고와 관련, 해킹 사실을 명확히 인지하고도 관계 기관에 축소 신고하고 후속 지원을 거부했다는 비판이 제기됐다.

국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 29일 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 SK텔레콤은 해킹 발생 사실을 인지한 지 24시간이 훌쩍 지나 신고 의무를 위반했을 뿐 아니라 신고 내용 자체도 축소한 정황이 드러났다. 

SK텔레콤은 지난 20일 오후 4시 46분경 KISA에 제출한 신고서에 "불상의 해커로 추정되는 자에 의해 사내 장비에 악성코드가 설치되고 시스템 파일 유출이 의심된다"고 기재했다.

그러나 최 의원실 확인 결과 SK텔레콤은 이미 18일 오후 6시 9분경 사내 시스템 데이터의 비정상적 이동을 최초 인지했고 같은 날 오후 11시 20분경에는 악성코드를 발견해 내부적으로 해킹 사실을 확인한 상태였다. 

19일 새벽부터는 데이터 유출 여부 분석까지 진행하고 있었으므로 20일 신고 시점에는 해킹과 개인정보 유출 가능성을 충분히 인지하고 있었음에도 '의심 정황' 수준으로 신고했다는 지적이다. 또한 해킹 인지 시점 자체도 신고서에는 20일 오후 3시 30분으로 기재해 실제 인지 시점(18일 오후 11시 20분)보다 약 40시간 늦춰 신고한 것으로 나타났다. 정보통신망법은 침해사고 인지 후 24시간 내 신고하도록 규정하고 있다.

이러한 늦장·축소 신고로 인해 KISA는 사고의 심각성을 즉각 파악하기 어려웠고 전문가 파견 등 본격적인 기술 지원은 21일 저녁에야 시작될 수 있었다.

더욱이 SK텔레콤은 KISA에 해킹 사실을 신고하는 과정에서 KISA가 제안한 △피해지원 서비스 △후속조치 지원 △사이버 위협정보 분석공유 시스템(C-TAS) 정보 제공 등 모든 기술 지원을 거부한 것으로 확인됐다. KISA는 해킹 사고 발생 시 전문가 조력 등을 통해 피해 최소화를 지원하지만 SK텔레콤이 이를 모두 거부함으로써 소비자 피해 확산 가능성을 키웠다는 비판이 나온다.

최수진 의원은 “SK텔레콤은 명확한 해킹과 개인정보 유출 사실을 인지하고도 이를 ‘의심 정황’으로 축소 신고했으며 KISA의 지원도 모두 거부해 국민 피해와 혼란을 키웠다”고 비판했다. 최 의원은 "SKT가 소비자 피해를 최소화하고 문제를 적극적으로 해결하는 것이 아니라 사건 피해가 알려지는 것을 최소화하려던 정황으로 의심된다"고 지적했다.

한편 국회 과방위는 30일 열리는 방송통신 분야 청문회에 유영상 SKT 대표를 증인으로 채택했다. 이 자리에서는 사고 경위와 피해 규모 축소 의혹, 미흡한 피해 지원 조치 등에 대한 집중적인 질의가 이루어질 전망이다.