[이슈] 李대통령 "SKT 위약금 면제해야, 불응시 등록취소"…SKT "정보보호에 7천억 투자"

이재명 대통령이 3일 서울 용산 대통령실 청사에서 열린 2차 수석보좌관회의에서 발언하고 있다.[사진=대통령실통신사진기자단]

[폴리뉴스 김성지 기자] 이재명 대통령은 지난 3일 SKT 해킹 사고로 계약을 해지하는 이용자들에게 위약금을 면제해야 한다고 밝히자 정부는 곧장 조사결과를 발표하고 위약금을 면제해야 한다고 밝혔다.

이재명 대통령이 지난 3일 해킹으로 인한 정보 유출 사고와 관련해 "계약 해지 과정에서 회사의 귀책사유로 피해자들이 손해를 보는 일이 없어야 한다"고 강조한 지 하루 만에 이뤄진 조치로, 정부는 SKT 이용약관 제43조에 따라 '회사의 귀책사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다는 점을 강조했다.

과학기술정보통신부는 4일 정부서울청사에서 SKT 침해사고 민관합동조사단 조사 결과를 공개하고, 이번 사고의 책임은 SKT에 있고 계약상 중요한 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다고 발표했다.

SKT 5G 이용약관에는 '귀책사유가 회사에 있다면 위약금을 면제한다'는 조항(제43조 4항)과 '선량한 관리자의 주의의무를 다한 경우 침해사고 등의 책임을 지지 않는다'(제22조 1항)는 내용이 들어있다.

SKT는 정부의 이 같은 발표에 향후 5년간 총 7000억 원을 정보보호에 투자하고, 침해 사고 이후 계약을 해지하는 이용자들에게 위약금을 면제하는 한편 다음 달 통신요금을 50% 할인하겠다고 즉각 대응책을 마련했다.

류제명 과학기술정보통신부 2차관이 4일 정부서울청사에서 SK텔레콤 해킹 사태 관련 최종 조사결과를 발표하고 있다. [사진=연합뉴스]

SKT, 2021년부터 해커 공격…정부 "2차 피해 우려 없어"

과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 지난 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다.

민관 합동 조사단의 최종 조사에서 해커의 공격이 2021년부터 이뤄졌으며 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않으면서 사태를 키운 사실이 드러났다.

통화 상대와 통화 시점 등 민감한 개인 정보가 노출될 수 있어 시선을 끌었던 통신기록(CDR) 유출은 파악된 바 없지만, 로그 기록이 남아있지 않은 2년 반 동안에는 유출 여부를 확인하는 것이 불가능해 최종 유출 여부는 확인하지 못했다.

정부는 휴대전화 복제에 악용될 수 있는 단말기식별정보도 유출되지 않았다고 확실히 할 수는 없지만 복제폰으로 인한 2차 피해 우려는 하지 않아도 된다고 밝혔다.

조사단은 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다고 설명했다. 중간조사 결과발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다.

조사단은 SKT가 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견하고 조치했지만 신고 의무를 지키지 않아 3000만원 이하 과태료 부과 대상이라고 밝혔다.

SKT는 지난 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원에 신고해 늑장 신고 논란이 있었다.

류제명 과기정통부 2차관은 "(사고)고의성이나 SK텔레콤의 범죄적인 측면이 있었는지는 경찰 수사를 통해 추후 밝혀질 것"이라며 "SKT가 기간통신사업자로서 법적인 의무 등을 이행하지 못한 범죄적인 무언가가 있다면 (경찰 수사 뒤) 판단해 보겠다"고 말했다.

과기정통부는 면책 조항을 고려하더라도 피해가 중대한 데다 SKT의 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 같은 문제가 있었다고 지적했다.

류제명 과학기술정보통신부 2차관이 4일 정부서울청사에서 SK텔레콤 해킹 사태 관련 최종 조사결과를 발표하고 있다. [사진=연합뉴스]

"위약금 면제 거부 시 등록 취소 등 강력 제재 조치"

과기정통부는 4일 실시한 조사결과 발표는 SKT와 사전협의 없이 이뤄졌다고 전했다.

만약 SKT가 위약금 면제 판단에 반대한다면 전기통신사업법에 따라 시정명령을 요구하고, 이행되지 않으면 등록취소 등의 조치까지도 할 수 있다며 강경한 태도를 보였다.

또 해킹 사고 후 번호이동을 한 가입자들에게는 위약금에 대한 환불 조치가 당연히 이뤄져야 한다고 설명했다.

다만 이번 판단은 SKT의 이번 사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적 해석은 아니라는 점을 분명히 했다.

류제명 과기정통부 2차관은 "국민적 관심이 높은 사안이기 때문에 SK텔레콤이 소비자가 혼란을 겪지 않도록 조속한 시일에 구체적인 방안을 내놓지 않을까 기대한다"고 말했다.

 과학기술정보통신부를 주축으로 하는 SK텔레콤 침해사고 민관 합동 조사단이 조사 결과를 발표한 4일 서울 시내 SK텔레콤 대리점.[사진=연합뉴스]

SKT, "위약금면제·정보보호에 7천억 투자" 발표

정부의 이 같은 발표에 SK텔레콤은 향후 5년간 총 7000억 원을 정보보호에 투자하고, 침해 사고 이후 계약을 해지하는 이용자들에게 위약금을 면제하는 한편 다음 달 통신요금을 50% 할인하겠다고 밝혔다.

SKT는 조사단 발표 직후 정보보호에 대한 투자 강화와 약정 고객 해지 위약금 면제 등을 골자로 한 '책임과 약속' 프로그램을 발표했다.

유영상 SKT CEO는 4일 열린 기자간담회에서 "조사 결과를 엄중하게 받아들이며 사이버 침해 사고에 대해 다시 한 번 고객과 사회에 진심으로 사과 드린다"며 사과했다.

SKT는 향후 5년간 정보보호에 총 7000억 원을 투자하기로 결정하고 이를 위해 최고 수준 정보보호 인력을 영입하는 한편 내부 전담인력을 육성하는 등 정보보호 전문 인력을 기존 대비 확대할 계획이다.

보안 기술·시스템 강화를 위한 투자액도 대폭 늘릴 예정이며 정보보호 기금도 100억 원을 출연하기로 결정했다. 아울러 정보보호최고책임자 조직을 CEO 직속으로 격상하고, 레드팀을 신설하는 등 보안 체계를 강화하겠다고 밝혔다.

가장 관심 사안이었던 침해 사고 발생 후 계약 해지 시 위약금 면제도 정부 요구대로 수용했다. 위약금 면제 대상은 침해 사고 이후 해지한 고객과 오는 14일까지 해지 예정인 고객이다. 기존에 납부한 위약금을 신청하면 환급하는 형태로 진행한다.

이어 전 고객의 8월 통신 요금을 50% 할인하고, 연말까지 매월 데이터 50GB를 추가로 제공할 방침이다. SK텔레콤 망을 사용하는 알뜰폰 사업자와 협의해 알뜰폰 고객 대상으로도 통신요금 할인을 지원할 예정이다.

SKT 위약금·매출 등 손실 예상…통신업계도 긴장

위약금 면제로 기존 가입자가 이탈할 경우 SKT 손실은 수조 원대에 이를 것으로 예상된다.

해킹 사고가 처음 알려진 지난 4월 22일 이후 SKT에서 위약금과 상관없이 이탈한 가입자는 60만 명에 달하는 것으로 알려졌다.

유영상 SKT 대표는 지난 5월 국회 과방위 청문회에서 "(가입자 이탈이) 최대 500만 명까지도 가능하다고 생각한다"며 "위약금뿐 아니라 3년 치 매출까지 고려하면 7조 원 이상 손실도 예상하고 있다"고 언급한 바 있다.

정부가 SKT 해킹 사건 위약금 면제의 기준으로 제시한 '안전한 통신 서비스 제공'의 기준을 두고 우려의 목소리가 나온다.

'안전한 통신 서비스'의 정의가 뚜렷하지 않은 데다 통신사업자의 법적 책임 기준을 명확히 할 수 없다는 점에서 외부 공격에 대한 내부 책임 제한을 어디에 둘 것인지 경계가 모호하다는 것이다.

류 차관도 브리핑에서 "회사의 귀책사유로 인해 해지하는 경우를 구체화하는 것이 필요하지 않을까 생각한다"며 "의무 위반이 계약 전속을 유지할 수 없을 정도로 신뢰를 훼손했는지 등의 판단은 모호한 측면이 있어 이번 판단을 일반화하기엔 한계가 있다는 게 정부의 판단이자 법률 자문의 결과"라고 설명했다.​

과방위, 위약금 면제조치 환영 "후속조치도 마련할 것"

이에 국회 과방위는 후속조치 마련을 위한 입법 마련에 나설 예정이다. 과방위 소속 더불어민주당·조국혁신당 의원들은 4일 SKT 사이버 해킹사태와 관련한 정부의 '해지 위약금 면제' 결정을 환영하며 후속조치로 소비자 보호를 위한 법제도 마련에 착수하겠다고 밝혔다.

과방위원들은 "이번 정부 조사결과는 사건의 심각성과 높은 국민적 관심에 걸맞게 엄정하게 이뤘다"고 평가하며 "위약금 면제는 그간 과방위가 지속해서 지적한 사안으로 사업자 과실로 인해 통신 불편과 불안을 겪은 국민 입장에서 적절한 결정"이라고 강조했다.

현재 과기부 소속 여당 의원들을 중심으로 발의됐거나 추진 중인 관련 법안은 △개별통지 의무화법 △이행강제금 △도입법 정보보호수준 평가법 △정보보호 세액공제법 △집단소송 및 징벌적 손해배상 도입법 등이다.

위원들은 "통신망 보안 의무 강화를 비롯해 민간 정보보호 거버넌스 체계 정비, 보안 투자 촉진, 침해사고에 대한 신속 통지체계 구축 등 필요한 법제도 개선에 최선을 다하겠다"고 말했다.

이어 SKT를 향해서는 "부실한 정보보호 조직과 체계, 소홀했던 보안 투자 등에 대해 진지하게 성찰하고 근본적인 변화의 계기로 삼아야 한다"고 피력했다.

회견에는 최민희 위원장을 비롯해 민주당 김현(안산을) 간사와 김우영·노종면(인천 부평갑)·이정헌·이훈기(인천 남동을)·조인철·한민수·황정아 의원, 혁신당 이해민 의원이 참석했다.