'위약금 면제' 수용 여부 '주목'…정부 "반대 시 시정명령 등 조치"
최초 악성코드 침투 2021년 8월 6일…신고의무 지키지 않아
(서울=연합인포맥스) 최정우 기자 = 과학기술정보통신부는 SK텔레콤의 유심(USIM·가입자 식별 장치) 해킹 사태가 회사 측 과실로 인해 발생한 측면이 있다고 최종 판단했다.
이에 따라 온라인카지노 후기 유니88텔레콤은 회사와의 계약을 해지하고 번호를 이동한 고객들에게 위약금을 면제해야 하는 상황에 놓였다.
과기정통부는 4일 '온라인카지노 후기 유니88텔레콤 침해 사고 최종 조사 결과 발표'에서 온라인카지노 후기 유니88텔레콤이 해킹 방지와 관련해 계약상 주된 의무를 다하지 못해 회사 측 귀책이 있다고 판단했다.
지난 4월 23일 조사단을 구성한 이후 온라인카지노 후기 유니88텔레콤 서버 4만2천600대에 대한 전수 조사를 진행한 결과다.
◇ 온라인카지노 후기 유니88T '관리 부실·암호화 미흡' 등 사태 원인 지목
과기정통부가 구성한 민관합동조사단은 이번 침해 사고가 온라인카지노 후기 유니88텔레콤의 계정정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 등의 문제로 발생했다고 결론 내렸다.
우선, 온라인카지노 후기 유니88텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하지만, 이번 침해 사고에서 감염이 확인된 HSS 서버 계정 정보를 다른 서버에 평문으로 저장한 것으로 드러났다.
정보보호관리체계(ISMS) 인증 기준은 종이와 파일, 모바일 기기 등에 비밀번호 기록 및 저장을 제한하고, 부득이하게 저장해야 하는 경우 암호화 등의 보호 대책을 적용해야 한다고 명시하고 있다.
조사단은 회사 측이 ISMS 인증 기준을 따르지 않아 고객 계정정보 관리에 미흡했다고 판단했다.
해커의 공격은 지난 2021년부터 이뤄졌으며 온라인카지노 후기 유니88텔레콤이 2022년 자체 조사로 침해 사실을 발견하고도, 이를 조치하지 않으면서 사태를 키웠다는 사실을 밝혔다.
정보통신망법 제48조의3은 침해사고가 발생하는 즉시 그 사실을 과기정통부 또는 KISA에 신고해야 한다고 명시하고 있다.
과기정통부는 "침해사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견 및 조치하는 작업이 이루어질 수 없었다"고 설명했다.
정보 암호화 조치가 미흡했던 점도 이번 해킹 사태의 주요 원인으로 지목됐다.
유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화는 세계이동통신사업자협회(GSMA)가 권고하는 사안으로 KT, LG유플러스와 다르게 온라인카지노 후기 유니88텔레콤은 암호화하지 않고 있었다.
◇ 2021년 해커 최초 침투…BPF도어 등 33종 악성코드 발견
조사단 조사 결과 해커가 온라인카지노 후기 유니88텔레콤 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다.
해커가 온라인카지노 후기 유니88텔레콤 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종이다.
BPF도어 계열 외에 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다.
해커는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 유출했다.
유출된 정보는 전화번호와 가입자 식별번호(IMSI) 등 유심정보 25종으로, 유출 규모는 IMSI 기준 약 2천696만건이다.
조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 설명했다.
온라인카지노 후기 유니88텔레콤은 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장해 보안에 소홀했다.
또한, 지난 2022년 특정 서버에서 비정상 재부팅이 발생한 것을 인지하고 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했지만, '정보통신망법'에 따른 신고 의무를 이행하지 않았다.
온라인카지노 후기 유니88텔레콤은 지난 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고한 바 있다.
무엇보다 더 큰 문제는 온라인카지노 후기 유니88텔레콤이 비정상 재부팅을 인지한 이후 로그기록 6개 중 1개만을 확인하면서 해커가 서버에 접속한 기록을 발견하지 못한 것이다.
과기정통부는 "온라인카지노 후기 유니88텔레콤이 자체 조사 후 보고를 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업이 이뤄질 수 없었다"면서 "신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상"이라고 밝혔다.
◇ 정부, 위약금 면제 판단…온라인카지노 후기 유니88T 수용 여부 주목
과기정통부는 온라인카지노 후기 유니88텔레콤 측의 과실이 발견된 만큼 계약 해지에 따른 위약금을 면제해야 하는 귀책 사유에 해당한다고 강조했다.
온라인카지노 후기 유니88텔레콤 이용약관 제43조는 '회사의 귀책 사유로 인해 해지하는 경우 위약금을 면제할 수 있다'고 규정하고 있다.
과기정통부 관계자는 "이번 침해사고에서 온라인카지노 후기 유니88텔레콤의 과실이 발견됐고, 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 것을 본다"면서 "위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단한다"고 말했다.
과거 유영상 SK텔레콤 대표는 해킹 관련 청문회에서 한 달 기준 최대 500만 명까지 이탈이 일어날 수 있다고 예상했다.
1인당 해약 위약금을 평균 최소 10만원으로 적용하면 5천억원에 해당하는 액수다.
위약금과 고객 이탈로 인한 매출까지를 고려하면 3년간 7조원 이상의 손실을 예상하기도 했다.
지난 4월 사태 발생 이후 집계된 번호 이동 가입자는 5월 약 93만명, 6월 66만명이다.
번호 이동 가입자가 150만명 정도에 그치는 상황이지만, 이번 조사 결과로 정부의 위약금 면제 판단이 나오면서 고객 이탈이 더욱 가속할 수 있다.
류제명 과기정통부 2차관은 이날 브리핑에서 "온라인카지노 후기 유니88텔레콤이 조사단의 판단에 따라 위약금 면제 판단에 따르지 않으면 시정명령을 할 수 있다"면서 "시정 명령 이후에는 사업의 일부 정지 및 취소 등 등록 취소 요건을 따져볼 수 있을 것"이라고 말했다.
◇ 온라인카지노 후기 유니88T에 재발 방지책 전달…"타사는 문제 없는 것으로 파악"
과기정통부는 온라인카지노 후기 유니88텔레콤 측에 계정 비밀번호 관리 강화, 주요 정보 암호화, 대표이사(CEO) 직속의 정보보호 거버넌스 강화, 정보보호 인력·예산 확대 등 재발 방지 대책을 전달했다.
특히, 온라인카지노 후기 유니88텔레콤의 정보보호 인력 및 투자 규모가 타사보다 작아 해킹 사태로 이어진 것 아니냐는 지적이 있었다.
온라인카지노 후기 유니88텔레콤은 지난해 말 정보보호 공시 기준 가입자 100만명당 정보보호 인력 15명, 투자액 37억9천만원(온라인카지노 후기 유니88브로드밴드 포함)을 정보보호에 투자했다.
국내 통신사 평균인 17.7명, 57억4천만원 대비 규모가 작은 수준이다.
류제명 2차관은 "온라인카지노 후기 유니88텔레콤뿐 아니라 KT와 LG플러스 등은 추가로 확인된 문제가 없는 것으로 파악하고, 주요 플랫폼 4개 사 등을 조사 중"이라며 "온라인카지노 후기 유니88텔레콤에 대해서는 재발 방지 대책에 따른 이행계획을 이달 제출하도록 하고, 12월까지 이행 여부를 점검할 계획"이라고 말했다.
jwchoi2@yna.co.kr
(끝)
<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지