[프라임경제] 과학기술정보통신부(이하 과기정통부)가 SK텔레콤(017670)의 대규모 유심정보 유출 사고와 관련해 "회사의 귀책사유로 인한 계약 해지 시 위약금을 면제한다"는 약관 조항이 적용된다고 4일 공식 판단했다. 

이번 결정은 대형 사이버 침해사고에 대한 정부 차원의 첫 '위약금 면제' 해석이라는 점에서 주목된다.

앞서 지난 4월 SK텔레콤은 약 2700만건에 달하는 유심정보를 해킹으로 유출당했다. 과기정통부는 민관합동조사단을 구성해 약 두 달간 원인 분석과 책임 소지를 규명했으며, SK텔레콤의 정보보호 체계 전반에 심각한 관리 부실이 있었던 것으로 판단했다.

SK텔레콤 이용약관 제43조는 '회사의 귀책사유로 인해 해지할 경우 위약금을 면제한다'고 명시돼 있다. 이번 사건 이후 약관 적용 여부를 두고 논란이 일었고, 정부는 법률자문을 거쳐 명확한 입장을 내놓았다.

과기정통부는 조사단의 결과와 법률 검토를 종합해 "SK텔레콤이 안전한 통신서비스를 제공할 계약상 주된 의무를 다하지 못했다"며, 약관상 위약금 면제 대상에 해당한다고 밝혔다. 

다만 이는 이번 사고와 SK텔레콤 약관에 한정된 해석이며, 모든 침해사고에 일괄 적용되는 것은 아니라고 선을 그었다.

조사에 따르면 공격자는 2021년 8월, 외부와 연결된 서버에 침투해 평문 상태의 계정정보를 활용해 시스템 관리망, HSS 서버, 고객 관리망까지 단계적으로 감염시켰다. 이후 2025년 4월, HSS 서버에 저장된 유심정보 9.82GB(약 2696만건)를 외부로 유출했다.

악성코드는 총 33종(백도어, 웹쉘 포함)이 확인됐으며, IMEI, 통화기록 등 주요 정보가 평문으로 저장된 서버도 일부 존재했다. 다만 로그 미보관 등으로 인해 일부 기간의 유출 여부는 확인되지 않았다.

SK텔레콤은 침해사고를 제때 신고하지 않았으며, 정부의 자료보전 명령에도 불응한 정황이 확인됐다. 과기정통부는 정보통신망법 위반으로 과태료 부과 및 수사를 의뢰할 계획이다.

또한 자체 보안점검 항목 부실, 협력사 공급 소프트웨어 점검 미흡, 정보보호 인력 및 예산 부족 등 전방위적 허점을 드러냈다. 특히 SK텔레콤의 정보보호 예산은 가입자 100만명당 37.9억원으로, 통신 3사 평균(57.4억원)에 한참 못 미치는 수준이었다.

정부는 SK텔레콤에 7월 중 재발방지 대책 이행계획 제출을 요구하고, 오는 8~10월 이행 점검을 통해 연말까지 후속 조치를 취할 예정이다. 시정명령 가능성도 열어뒀다.

유상임 과기정통부 장관은 "SK텔레콤은 1위 사업자로서 책임감을 갖고 보안체계를 전면 쇄신해야 한다"며 "AI 시대의 정교한 사이버 위협에 대응할 수 있도록 보안 체계를 전면 개편하겠다"고 밝혔다.