본문 바로가기
카테고리 없음

SK텔레콤 침해사고 최종 조사결과 발표 정리

by 서포트프로 2025. 7. 8.
반응형



2025년 7월 4일, 과학기술정보통신부(과기정통부)는 SK텔레콤 침해사고에 대한 최종 조사결과를 공식 발표했습니다. 이번 브리핑은 국민적 불안과 불편을 초래한 대형 사이버 사고에 대해 정부가 어떤 조사와 대책을 마련했는지, 그리고 향후 통신서비스 이용자 보호를 위한 방향성을 제시했다는 점에서 큰 의미가 있습니다.

1. 사건 개요 및 조사 경과

  • 사고 인지 및 신고
    2025년 4월 18일 밤, SK텔레콤은 침해사고를 인지했고, 4월 20일 한국인터넷진흥원(KISA)에 신고했습니다.
    그러나 정보통신망법상 24시간 이내 신고 의무를 위반하여 과태료 부과 대상이 되었습니다.
  • 민관합동조사단 구성
    4월 23일부터 6월 27일까지 약 두 달간, 정부와 민간 전문가로 구성된 조사단이 SK텔레콤 전체 서버 4만 2,605대를 대상으로 6차례에 걸쳐 악성코드 감염 여부를 집중 조사했습니다.

2. 침해사고의 원인 및 경과

공격 단계별 분석

  1. 초기 침투
    • 2021년 8월, 외부 인터넷 연결이 가능한 서버 A에 CrossC2 악성코드 설치
    • 서버에 평문으로 저장된 계정정보(ID, PW)를 활용해 내부 서버 B로 이동
  2. 추가 거점 확보
    • 2022년 6월, 시스템 관리망에서 고객 관리망 내 서버로 침투
    • 웹쉘, BPFDoor 등 악성코드 추가 설치
  3. 정보 유출
    • 2023년 11월~2025년 4월, 여러 서버에 악성코드 설치
    • 2025년 4월 18일, 음성통화 인증 서버 3대에 저장된 유심정보를 외부로 유출

유출 정보 및 피해 규모

  • 유심정보(전화번호, IMSI 등) 25종, 약 2,696만 건(9.82GB)
  • 일부 서버에 단말기식별번호(IMEI), 이름, 전화번호, 통신기록(CDR) 등 개인정보가 평문 저장
  • 로그 기록이 남아있는 기간에는 유출 정황이 없었으나, 기록이 없는 기간은 확인 불가

3. SK텔레콤 정보보호체계의 문제점

  • 계정정보 관리 부실
    • 서버에 계정정보를 평문 저장, 악성코드 감염의 원인 제공
  • 과거 침해사고 대응 미흡
    • 2022년 2월 악성코드 감염 시 신고의무 미이행, 로그 점검도 불충분
  • 주요 정보 암호화 미흡
    • 유심 인증키(Ki) 등 중요 정보를 암호화하지 않고 저장
  • 보안점검 및 관리 미흡
    • 웹쉘 탐지 미흡, 전화번호 마스킹 정보 관리 소홀, 공급망 보안 소홀
  • 정보보호 인력 및 투자 부족
    • 전체 자산의 57%만 보안 담당, 타 통신사 대비 인력·투자 규모 낮음

4. 정부의 재발방지 대책 및 조치

  • 비밀번호 기록 및 저장 제한, 암호화 의무화
  • 침해사고 발생 시 법령 준수 및 철저한 원인 분석
  • 주요 정보 암호화 저장 의무화
  • 분기별 정기 보안점검, 보안 솔루션 확대
  • 공급망 보안체계 구축
  • 정보보호 최고책임자(CISO) 역할 강화(CISO를 CEO 직속)
  • 방화벽 로그 6개월 이상 보관, 자산 담당조직 신설, 정보보호 인력 및 투자 확대

과기정통부는 7월까지 재발방지 대책 이행계획을 제출받고, 10월까지 이행 결과를 점검해 미흡 시 시정조치를 명령할 계획입니다.

5. 법령 위반 및 행정조치

  • 정보통신망법상 침해사고 신고의무 위반
    • 24시간 내 신고 미이행, 과태료 부과 예정
  • 자료보전 명령 위반
    • 포렌식 불가 상태로 서버 제출, 수사기관에 수사의뢰 예정
  • 시정명령 및 등록취소 가능성
    • SK텔레콤이 정부 방침 불수용 시 전기통신사업법에 따라 시정명령, 등록취소 등 법적 조치 가능

6. 위약금 면제 관련 쟁점

  • 이용약관상 위약금 면제 판단
    • SK텔레콤의 과실(계정정보 관리 부실, 암호화 미흡, 법령 위반 등)이 인정되어 회사 귀책사유로 결론
    • 유심정보 유출은 '안전한 통신서비스 제공'이라는 계약상 주요 의무 위반에 해당
    • 4월 18일 유출된 정보로 인한 피해 가능성이 있는 고객 전원에게 소급 적용 가능성 언급
    • 단, 이번 판단은 해당 사고에 한정, 모든 사이버 침해사고에 일반 적용되는 해석은 아님

7. 추가 Q&A 요약

  • 유심 해킹 피해 실마리
    • 추가 피해 정황 발견되지 않음, 유심보호서비스 및 부정사용방지시스템(FDS) 고도화로 피해 차단 강화
  • 조사 인력 및 신뢰성
    • 조사단 23명, KISA 인력 70여 명, 서버 4만여 대 전수조사 등 역대급 강도 높은 조사 진행
  • IMEI, IMSI 유출 불안
    • IMEI 단독 유출로는 단말기 복제 불가, 제조사·칩사 등 전문가 의견 종합
  • 타 통신사 및 플랫폼 점검
    • 나머지 2개 통신사는 유사 조사 결과 문제 없음, 플랫폼사 점검은 진행 중

8. 향후 제도 개선 및 정보보호 강화 방향

  • 국회 T/F 및 정부 협력으로 법·제도 개선 논의
  • 정보보호 관리체계, 기반시설 보호, 보안 거버넌스 모범사례 발굴 및 확산
  • 민간 정보보호 투자 및 인력 확충 유도
반응형
저작자표시 비영리 변경금지 (새창열림)

티스토리툴바