SK텔레콤 악성코드 무더기 발견 파장 확산, "기간통신사 자격 박탈" 요구도 나와

여기에 이번에 25종의 새로운 악성코드가 추가 발견되면서 현재까지 파악된 악성코드는 총 37종에 이른다.

이번에 추가로 발견된 악성코드는 민관합동조사단이 ‘더 있는 것 아니냐’는 문제 제기에 따라 진행된 재점검 과정에서 확인된 것으로 보인다.

강도현 과학기술정보통신부 2차관은 지난 8일 국회 과학기술정보방송통신위원회 청문회에서 “현재까지 3만3천 대의 SK텔레콤 서버를 3차례 조사했다”며 “추가 감염이 조금 더 있다”고 밝힌 바 있다.

유영상 SK텔레콤 대표이사 사장은 4월30일 국회 과방위 증인으로 나와 “통신사 역사상 최악의 해킹 사고라는 데 동의하느냐”는 의원 질의에 “그렇다”고 답변하기도 했다.

이에 따라 SK텔레콤 내부에 여전히 탐지되지 않은 악성코드가 더 존재할 가능성도 완전히 배제할 수 없다는 지적이 나온다.

특히 이번 해킹을 통해 유출된 개인정보 범위가 당초 조사 결과에서 발표된 수준보다 훨씬 광범위할 수 있다는 가능성도 제기된다.

개인정보보호위원회는 지난 8일 HSS에 저장돼 있던 이용자 휴대전화번호, IMSI(가입자식별번호), 유심 인증키 및 기타 유심 관련 정보 등 총 25종이 유출됐다고 밝혔다.

‘한국 전산학 박사 1호’로 알려진 문송천 한국과학기술원(KAIST) 명예교수도 비즈니스포스트와 통화에서 “해커가 유심(USIM) 서버뿐 아니라 다른 주요 서버에도 여러 개의 백도어를 설치했을 가능성이 크다”며 “아직 탐지되지 않은 악성코드가 더 존재할 수 있다”고 말했다.

황석진 동국대학교 국제정보보호대학원 교수는 “악성코드가 많다는 것은 해킹 시도가 장기간에 걸쳐 지속됐다는 의미”라며 “유심(USIM) 데이터뿐 아니라 가입자 정보 등 거의 모든 주요 데이터가 유출됐을 가능성이 높다”고 진단했다.

임종인 고려대학교 정보보호대학원 교수도 “전체 피해 규모가 파악되려면 몇 달이 걸릴 수도 있다”며 “변종 악성코드는 정교하기 때문에 탐지하기도 어렵다”고 말했다.

이에 따라 정부가 SK텔레콤에 부과할 과징금 규모 역시 당초 전망보다 크게 늘어날 수 있다는 관측이 나온다. 

개인정보보호법상 매출의 최대 3%까지 부과 가능한 과징금 상한이 적용될 경우 SK텔레콤은 5천억 원이 넘는 과징금을 부과받을 수 있을 것이란 관측이 나온다. 

또 가입자들 사이에서는 위약금 없이 다른 통신사로 번호이동을 허용해 달라는 요구와 함께 개인정보 유출에 따른 실질적 보상을 요구하는 목소리도 한층 커지고 있다. 실제로 일부 가입자들은 집단소송에 착수한 것으로 알려졌다.

황 교수는 “과징금은 피해 금액이 발생하지 않더라도 유출 규모를 감안해 역대 최고가 되지 않을까 싶다”며 “손해배상은 피해발생이 아직까지 없기 때문에 정신적 위자료를 어떻게 청구할 것인지가 이슈가 될 것”이라고 말했다.

일각에서는 SK텔레콤이 기간통신사업자로서 이용자 보호라는 중대한 책임을 다하지 못했기 때문에 정부가 기간통신사업자 자격을 박탈해야 한다는 지적까지 나온다. 

현행 전기통신사업법 제20조 제1항 제2호에 따르면 과학기술정보통신부 장관은 기간통신사업 등록 시 이용자 보호 등을 위한 조건을 부과할 수 있으며, 이 조건을 이행하지 않을 경우 등록의 전부 또는 일부를 취소하거나 최대 1년 범위 내에서 사업 정지를 명할 수 있다고 규정하고 있다.

.. 후략 ..

[단독] SK텔레콤 악성코드 무더기 발견 파장 확산, "기간통신사 자격 박탈" 요구도 나와