SK텔레콤에 대한 해킹 공격이 3년 이라는 장기간에 걸쳐 이뤄진 것으로 파악된 가운데 로그 기록이 남아 있는 기간은 약 4개월에 불과해 조사에 난항을 겪고 있는 것으로 21일 알려졌다.
SK텔레콤 침해사고 민관합동조사단은 지난 19일 2차 조사 결과를 발표했다. 조사단은 1차 조사 결과 악성코드 4종과 감염서버 5대를 확인했다고 발표했으나 이날 악성코드 21종과 감염서버 18대가 추가됐다고 설명했다. 특히 감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 조사돼 개인정보 유출 가능성도 관측된다.
해당 서버는 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 포함됐다.
그러나 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지 로그 기록이 남지 않은 기간에는 유출 여부를 사실상 확인하지 못한다. 과학기술정보통신부 관계자는 “로그 기록이 없으면 현재로서는 조사를 정확하게 하기에는 어려움이 있다”며 “향후 조사에서 다른 결과가 나올 수 있으나 자료 유출 여부는 확인하기 쉽지 않다”고 설명했다.
다만 조사단은 2차례 걸쳐 정밀히 조사한 결과 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다고 밝혔다. SK텔레콤도 같은 입장이다.
이에 조사단으로부터 서버자료를 공유 받아 조사를 진행하는 개인정보보호위원회도 수사에 난항을 겪을 것으로 전망된다. 개인정보위 관계자는 “로그가 회복되지 않는다면 그 기간에 대한 조사는 불가능하다”며 “SK텔레콤은 로그 저장 기간에 대해 문제가 없다고 하나 관련 법상 문제가 없는지 조사를 해봐야 아는 부분”이라고 말했다.
개인정보 보호법의 개인정보의 안전성 확보조치 기준(고시)을 보면 기간통신사업자는 접속기록을 2년 이상 보관 관리해야 한다. SK텔레콤은 해당 서버가 임시 저장 역할을 하는 서버라 법에 적용되지 않는다고 주장하고 있다.
류정환 SK텔레콤 네트워크인프라센터장은 서울 삼화타워에서 열린 ‘일일 브리핑’에서 “추가로 유출 된 것은 없으나 악성 코드와 서버 수가 늘어난 것에 대해선 정말 죄송하다”며 “침해는 정말 잡기 어려우나 유출은 어떤 패턴이 있어 막을 수 있는 것”이라고 설명했다
또 로그 기록이 남지 않은 기간에 대해서는 “관리자나 개발자일 경우에는 로그를 1년, 2년 동안 보관을 해야 하나 일반 사용자가 접속을 하는 것에 대해서는 조항이 없다”며 “해커들이 생성 날짜를 조작해 가급적 길게 하는 경향도 있다”고 말했다.
관련 전문가들은 로그 기록 삭제로 인한 조사 난항으로 입증을 하지 못해 무죄를 주는 방식은 SK텔레콤 이후에도 같은 사고가 반복될 수 있다고 지적한다.
실제로 LG유플러스는 2023년 1월 해킹으로 약 30만명의 고객 개인정보가 유출됐다. 당시 한국인터넷진흥원(KISA)은 해킹범이 다크웹에서 LG유플러스의 고객자료를 판매하려 한 것을 확인했다. 이후 사측에 사실을 통보했다.
정부는 파일 유출 시점이 2018년 6월 15일로 봤으나 로그가 남아있지 않아 정확한 시점과 누가 해킹했는지, 어떻게 유출됐는지 특정하지 못했다. 로그 보존 기간은 2년이기에 이미 삭제됐기 때문이다.
박춘식 아주대 사이버보안학과 교수는 “현재 조사기관은 현행법 상 국내 기업의 개인정보 유출 등을 입증하지 못하면 무죄를 주기에 미국처럼 책임을 기업에게 책임을 전적으로 물어야 할 것”이라며 “SK텔레콤 해킹 사태가 유출 없이 마무리되더라도 개선보다는 같은 사례가 반복될 것으로 예상한다”고 지적했다.
미국 3대 통신사인 T모바일은 2021년 전·현 고객과 함께 잠재적 고객 7660만명 이상의 이름, 생년월일 등이 포함된 신용조회 데이터를 유출됐다. 이에 소비자들은 법원에 T모바일을 상대로 소송을 제기했다. T모바일은 소비자에게 3억5000만 달러(약 4590억원)을 배상하기로 합의했다.
박 교수는 “이번 SK텔레콤도 3년이나 악성코드가 감염된 줄도 몰랐다는 것에 국민의 신뢰는 크게 하락했을 것”이라며 “정부는 현실적으로 SK텔레콤 해킹 사태를 막기 위해 로그 저장 연장 등을 고려할 것”이라고 말했다.
