통신 역사상 최악의 해킹 사고.
국내 1위 이동통신사 SK텔레콤의 유영상 대표는 지난 4월 30일 국회 과학기술정보방송통신위원회에 출석해 '이번 사건이 통신사 역사상 최악의 해킹 사고라는 데 동의하느냐'는 질의에 “그렇다”라고 답했다. SK텔레콤이 지난 4월 22일 고객 유심 관련 정보 유출 정황을 공식 발표한 지 여드레 만이다.
유 대표가 인정한 대로 민관합동조사단 조사 결과, △계정 정보 관리 부실 △과거 침해사고 대응 미흡 △중요 정보 암호화 조치 미흡 등 총체적 관리 부실이 확인됐다. 최초 악성코드 시점은 4년 전인 2021년 8월로 거슬러 올라갔다. 해커가 장기간 악성코드를 심어 놓고 제집 드나들 듯 오가도 몰랐다.
피해가 커진 것은 계정정보를 암호화하지 않은 탓이다. 최초 공격 받은 시스템 관리망 서버에 저장된 다른 서버의 계정정보(아이디·비밀번호)를 암호화하지 않아 해커는 손쉽게 다른 서버로 공격을 이어갈 수 있었다. 이렇게 총 28대 서버가 악성코드에 감염됐다. 특히 해커는 올해 4월 가입자식별번호(IMSI) 2696만건, 총 9.82기가바이트(GB)에 달하는 개인정보를 탈취했다. 이는 가입자 전원의 유심 정보에 해당하는 분량이다.
SK텔레콤 해킹 사고는 개인정보 유출 관련 처분 역사에도 남게 됐다. 개인정보보호위원회는 8월 27일 전체 회의를 열고 개인정보보호법을 위반한 SK텔레콤에 역대 최대 과징금인 약 1347억원을 부과했다. 기존의 최대 과징금인 구글(692억원)과도 2배 가까이 차이가 난다.
조재학 기자 2jh@etnews.com
