다음은 2025년 7월 4일 과학기술정보통신부의 ‘SK텔레콤 침해사고 최종 조사결과’ 발표에 대한 모든 질의응답을 정리한 내용입니다.
Q1. 위약금 면제 결정이 어제 대통령의 발언 등 정치적 영향을 받은 것인지, SKT와 사전 협의된 사항인지 궁금합니다.
A1. 아닙니다. 이번 결정은 정치적 영향을 받지 않았습니다. 조사가 당초 예상보다 길어져 6월 27일에 완료되었고, 이후 법률 검토를 거쳐 정부의 독립적인 절차에 따라 내린 결론입니다. SKT와는 사전에 협의한 바 없으며, 오늘(7월 4일) 오전에야 정부의 입장을 SKT 측에 전달했습니다.
Q2. SKT가 정부의 위약금 면제 판단을 받아들이지 않을 경우, 행정조치를 검토하고 있습니까? 또한, 유심 해킹으로 인한 실제 피해 실마리가 추가로 발견됐는지요?
A2. 먼저, 유심 복제로 인한 실제 피해 실마리는 추가로 발견하지 못했습니다. 만약 SKT가 정부의 판단에 따르지 않는다면, 전기통신사업법에 따라 시정명령을 내릴 것입니다. 시정명령을 이행하지 않을 경우, 사업 정지나 등록 취소 등 법에 명시된 절차에 따라 후속 조치를 취할 것입니다.
Q3. 사고 이후 이미 해지하고 위약금을 낸 가입자들도 소급 적용을 받을 수 있습니까?
A3. 그렇다고 판단합니다. 이번 결정의 기준은 4월 18일 발생한 유심정보 유출 사고이므로, 해당 시점의 고객은 모두 대상이 됩니다. 따라서 사고 이후에 약정 해지를 하며 위약금을 납부한 가입자들도 환불 조치를 받는 것이 타당합니다. 구체적인 범위와 절차는 SKT 측에서 마련해 발표할 것으로 기대합니다.
Q4. 고객 관리망 감염 이후 어떤 정보가 유출됐는지 구체적인 설명이 부족한 것 같습니다.
A4. (KISA 이동근 본부장 답변) 고객 관리망 서버가 악성코드에 감염된 것은 사실입니다. 하지만 저희가 확보한 로그 기록을 분석한 결과, 해당 서버에서 정보가 외부로 유출된 정황은 확인되지 않았습니다. 감염 사실은 확인했으나, 실제 정보 유출은 코어망의 HSS 서버에서 발생한 것으로 파악됐습니다.
Q5. 법률 자문 기관이 4곳에서 5곳으로 늘어난 이유와, 그중 한 곳이 판단을 유보한 이유는 무엇입니까? 또한 자문의 범위가 위약금 면제 여부였는지, 아니면 면제 대상의 범위까지 포함됐는지 궁금합니다.
A5. 1차 자문은 4개 로펌을 통해 진행했고, 조사 결과가 나온 후 2차 자문 시에는 기존 4곳에 더해 새로운 관점을 얻기 위해 2곳을 추가했습니다. 이 중 1곳은 일정상 응하기 어렵다고 답했고, 다른 1곳이 판단을 유보했습니다. 판단을 유보한 기관은 ‘SKT의 과실이 있다’는 사실관계에는 동의했으나, 향후 법적 다툼을 고려할 때 최종적인 법률 의견을 내기 위해서는 더 방대한 정보가 필요하다는 신중한 입장을 보인 것입니다. 자문의 범위는 위약금 면제의 ‘가능 여부(가부)’에 대한 판단이었으며, 구체적인 면제 대상 범위까지는 다루지 않았습니다.
Q6. 2022년 과거 침해사고 당시 SKT가 로그 기록 6개 중 1개만 확인했다는 사실은 어떻게 파악했습니까? 또한, 신고 의무 위반 외에 부실한 조사 자체에 대한 처벌 규정은 없습니까? 다른 통신사 및 플랫폼 점검 결과는 어떻게 되었습니까?
A6. 과거 사고 당시 SKT의 점검 활동을 포렌식을 통해 확인했으며, 해당 서버의 로그 기록 6개 중 1개만 확인하고 점검을 종료한 기록을 객관적으로 확인했습니다. 법적으로는 ‘신고 의무 위반’과 같은 명확한 위반 행위에 대해 과태료를 부과할 수 있으며, 부실한 관리나 대응은 ‘재발방지대책’ 요구를 통해 시정을 명령합니다. 다른 2개 통신사는 점검 결과 문제가 없었으며, 플랫폼 4개사에 대한 점검은 아직 진행 중으로 추후 결과를 발표하겠습니다.
Q7. 로그 기록이 없는 기간에 대한 정보 유출 가능성으로 국민들이 불안해합니다. 이에 대한 해소 방안은 무엇이며, 이번 조사의 신뢰도를 담보할 만한 인력이나 규모에 대해 설명 부탁드립니다.
A7. 로그 기록이 없는 기간의 유출 여부는 확인이 불가능합니다. 하지만 SKT가 부정사용방지시스템(FDS)을 고도화했고, 현재까지 유심 복제 등으로 인한 실제 피해 사례는 없습니다. 또한, 단말기 식별번호(IMEI)가 유출되었더라도 제조사의 고유 인증값이 없으면 단말기 복제는 기술적으로 매우 어렵습니다. 이번 조사는 과거와 달리 핵심 조사단 23명에 KISA 인력 70여 명이 추가 투입되었고, 문제가 된 서버만 점검하던 관행에서 벗어나 4만여 대의 전체 서버를 점검하는 등 전례 없이 강도 높게 진행되었습니다.
Q8. (질문 요약) 로그가 없는 기간에 유출 가능성이 있고, CDR(통화기록)이 유출됐다면 이용자는 피해 사실조차 알기 어려울 텐데, 이에 대한 판단은 어떻습니까?
A8. 맞습니다. CDR 유출은 직접적인 금전 피해가 아니라 사생활 침해와 연관되어 있어 개인이 인지하고 신고하기 어려운 특성이 있습니다. 이는 기술 전문가들도 동의하는 부분입니다.
Q9. SKT가 위약금 면제를 거부할 경우 ‘등록 취소’까지 언급했는데, 이는 약관 위반을 근거로 한 것입니까? 또한, 위약금 면제 범위에 인터넷/TV 등 결합상품도 포함됩니까? 이번 사례가 향후 다른 통신사 사고에도 동일하게 적용됩니까?
A9. 첫째, 등록 취소 가능성은 전기통신사업법상 ‘신고한 이용약관을 지키지 않은 경우’에 해당하는 조치로 언급한 것입니다. 둘째, 결합상품은 계약 조건이 복잡해 정부가 일률적으로 판단하기 어렵습니다. SKT가 면제 방안을 발표할 때 구체적인 기준을 제시해야 할 것입니다. 셋째, 이번 판단은 모든 침해사고에 일반화하기 어렵습니다. SKT의 명백한 과실과 유심정보라는 핵심 정보 유출의 중대성 등 개별 사안의 특수성을 고려한 것으로, 향후 다른 사고는 사안별로 판단해야 합니다.
Q10. SKT의 늑장 신고, 증거 인멸 시도 등은 단순 과실이 아닌 고의성이 보입니다. 국가 기간 통신 사업자로서 자격이 있는지 의심되는데, 정부의 조치가 너무 좁은 범위에 그친 것 아닙니까?
A10. 민관합동조사단의 역할은 기술적 원인 규명과 행정 조치에 초점을 맞춥니다. 사업자의 고의성이나 범죄 혐의는 현재 경찰이 별도로 수사 중이며, 그 결과를 통해 밝혀질 것입니다. 만약 수사 결과 통신 사업자로서의 자격에 근본적인 문제가 드러난다면 그때 다시 판단하겠지만, 현재 조사단 차원에서는 확인된 법규 위반에 대한 행정적 조치를 진행하는 것입니다.
Q11. 약관상 ‘선량한 관리자의 주의 의무를 다한 사이버 침해사고’는 면책된다는 조항은 어떻게 판단했습니까? 또한, 보도자료에 유심 복제 위험을 언급하면서도 실제 피해 가능성은 낮다고 한 것이 모순되지 않습니까? 향후 국회와 논의할 제도 개선 방안은 무엇입니까?
A11. 첫째, 이번 조사 결과 SKT는 계정 관리 부실, 주요 정보 암호화 미흡 등 ‘선량한 관리자의 주의 의무’를 다하지 않았다고 판단했으므로 해당 면책 조항은 적용되지 않습니다. 둘째, 모순이 아닙니다. 유심 정보가 아무런 보호조치 없이 유출되면 복제 위험이 크다는 것은 사실이며, 이는 사안의 중대성을 설명하기 위함입니다. 현재는 SKT의 FDS 등 방어 시스템이 있어 실제 피해 가능성은 낮아졌다는 의미입니다. 셋째, 국회 TF와 정보보호 관리체계(ISMS) 강화, 주요정보통신 기반시설 보호 제도 보완, 기업의 보안 거버넌스 강화 등 다양한 제도 개선 방안을 논의해왔으며, 조속히 구체적인 방안을 마련해 발표하겠습니다.