과학기술정보통신부가 유심 해킹 사고를 낸 SK텔레콤의 가입자가 타사로 옮길 때 계약 위약금을 내지 않아도 된다는 판단을 내렸다.
이번 초유의 해킹 사고는 전적으로 SK텔레콤의 과실이라고 본 것이다.
과기정통부 민관합동조사단은 4일 SK텔레콤 유심 해킹 사고 최종 조사 결과, '회사의 귀책사유로 인해 해지할 경우 위약금 납부 의무가 면제된다'는 SK텔레콤 이용 약관 상 위약금 면제 규정 적용이 가능하다고 밝혔다.
SK텔레콤이 유심 정보 보호를 위한 주의 의무를 다하지 못했다고 본 것이다.
SK텔레콤 로고
조사단은 5개 기관에서 조사 결과를 바탕으로 한 법률 자문을 진행한 결과 4개 기관이 SK텔레콤의 과실로 판단했다고 했다.
조사단의 '위약금 면제 가능' 해석으로 KT나 LG유플러스, 알뜰폰 등으로 번호이동을 할 때 SK텔레콤에 지불해야 하는 위약금은 사라진다.
사고 이후 타 통신사로 번호이동을 한 경우에도 위약금 면제가 적용된다.
SK텔레콤은 지난 5월 8일 국회 과학기술정보방송통신위원회 청문회에서 "1인당 해약 위약금을 평균 최소 10만원으로 예상한다"고 밝혔었다.
조사단은 해킹 공격을 받은 총 28대 서버 포렌식 분석 결과 BPF도어 27종과 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종 등 총 악성코드 33종을 확인했다고 밝혔다.
유출된 정보는 전화번호와 가입자식별번호(IMSI) 등 25가지 유심정보이며 유출 규모는 9.82기가바이트(GB), IMSI 기준 약 2696만 건이다.
조사단은 감염 서버 중 단말기식별번호(IMEI), 이름, 생년월일, 전화번호, 이메일 등 개인정보가 암호화되지 않은 상태로 임시 저장된 서버 2대와 통화시간, 수·발신자 전화번호 등 통신기록(CDR)이 암호화되지 않은 상태로 임시 저장된 서버 1대를 발견했다고 밝혔다.
조사단은 "정밀 분석 결과 IMEI는 지난해 12월 3일부터 올해 4월 24일까지, CDR는 지난해 12월 9일부터 올해 4월 20일까지 방화벽 로그 기록이 있는 기간에는 자료 유출 정황이 없는 것을 확인했다"고 했다.
다만 악성코드가 감염된 시점부터 로그 기록이 없는 기간, IMEI의 경우 2022년 6월 15일부터 지난해 12월 2일까지, CDR의 경우 2023년 1월 31일부터 지난해 12월 8일까지는 유출 여부를 확인이 불가능했다고 덧붙였다.
한편 SK텔레콤 침해사고 신고 지연, 자료보전 명령 위반 등 정보통신망법상 의무도 위반해 수사가관에 고발하기로 했다.