고개 숙인 SK텔레콤 "정보 유출 사고 2차 피해 없다"

사고 보고 지연 의혹에는 "사안 중대성 고려해 철저히 파악하다 늦어진 것…고의 없었다"

이인영 기자 | liy@newsprime.co.kr | 2025.04.25 14:25:44

[프라임경제] SK텔레콤(017670)이 최근 발생한 가입자 유심(USIM) 정보 유출 사고의 2차 피해는 확인되지 않았다고 25일 밝혔다.

수차례 점검을 진행한 결과, 추가적인 악성코드 침해 등이 확인되지 않은 것으로 파악됐다는 설명이다.

유영상 SK텔레콤 CEO가 25일 열린 고객보호 조치 강화 설명회에서 사과 인사를 하고 있다. ⓒ SK텔레콤

이종훈 SK텔레콤 인프라 전략본부장은 이날 서울 을지로 SK텔레콤 사옥에서 열린 고객보호 조치 강화 설명회에서 "(사고 이후) 유사 침해가 있는지 시스템을 전수조사한 결과 문제가 없는 것으로 판단됐다"며 이같이 밝혔다.

이 본부장은 "(악성코드) 침해가 있던 것으로 파악된 서버 시스템은 네트워크에서 완전 격리했다"며 "2차 전수조사를 통해 두번, 세번씩 점검하고 있다. 구체적 사고 원인과 경위 등은 민관 합동 조사단을 통해서 파악하게 될 것"이라고 말했다.

그러면서 "2차 피해가 없다는 것은 실제 유출된 정보로 불법 유심 등을 만드는 악용 사례가 현재까지 파악되지 않았다는 것"이라며 "현재 조사가 진행 중이라 뭐가 침입했다고 말하기 어려운 상황이다. 의심되는 것(서버 등)은 다 고립시켰다"고 덧붙였다.

이 본부장은 또 "서비스 측면에서 불편이 될 수 있는건 비정상인증시도 차단(FDS) 시스템을 통해 계속 모니터링하고 있다"며 "(사고) 이전과 비교했을 때 특이사항은 발견되지 않았다"고 했다.

이어 "특이사항이 발견되면 즉시 조치하는데 어떤 것도 나오지 않았고, 이로 인한 경찰 측 조사 요청이나 VOC(고객 불편)도 없었다"고 강조했다.

한편 SK텔레콤은 해킹 공격을 발견하고 한국인터넷진흥원(KISA)에 신고한 시점에서 지연 보고 의혹을 사고 있다. 해킹 사고의 최초 인지 시점이 고객 정보 탈취를 인지한 지난 19일보다 하루 빨랐던 만큼, 사고 인지 24시간 이내 신고해야 하는 규정을 위반했다는 지적이다.

정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다고 규정하고 있다.

전날 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 SK텔레콤으로부터 제출받은 자료에 따르면 이 회사는 지난 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다.

이어 같은 날 오후 11시 20분 악성코드를 발견하고 해킹 공격을 받았다는 사실을 내부적으로 확인했고, 다음 날(19일) 오전 1시 40분 어떤 데이터가 빠져나갔는지 분석을 시작했다.

SK텔레콤은 어떤 종류의 데이터가 빠져나갔는지 분석 끝에 22시간 만인 같은 날 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.

최수진 의원실에 보고된 SK텔레콤의 KISA 보고 시점은 20일 오후 4시 46분으로 사건의 최초 인지 시점인 18일 오후 6시와 45시간가량 차이가 난다.

최 의원실에 따르면 KISA도 SK텔레콤이 24시간 내 해킹 공격을 보고해야 하는 규정을 위반했다고 밝혔다.

이에 SK텔레콤 측은 "사안의 중대성을 고려해 사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것"이라며 "고의적인 지연 의도는 없었다"고 해명했다.