[뉴스토마토 이지은 기자] 고객 유심 정보 유출 사태를 맞은
SK텔레콤(017670)이 해킹을 인지한 시점이 기존 발표보다 하루 빠른 18일인 것으로 드러났습니다. SK텔레콤은 유출 데이터를 추가 탐색한 결과 19일 신고했다는 입장인데요. 침해 사고 발생을 알게 된 때로부터 24시간 이내에 당국에 알리는 조항이 지난해 8월 정보통신망법에 신설된 바 있어 논란이 예상됩니다.
24일 국회 과학기술정보방송통신위원회(과방위) 소속 최수진 국민의힘 의원이 SK텔레콤으로부터 받은 자료에 따르면, 이 회사는 지난 18일 오후 6시9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했고, 같은 날 오후 11시20분 악성코드로 해킹 공격을 받았다는 사실을 내부적으로 확인했습니다.
이후 19일 오전 1시40분 어떤 데이터가 빠져나갔는지 분석을 시작했고, 이날 오후 11시40분 해커에 의한 악성코드로 이용자 유심 정보 일부가 유출된 정황을 확인했습니다.
최 의원실에 보고된 SK텔레콤의 한국인터넷진흥원(KISA) 보고 시점은 20일 오후 4시46분으로, 사건의 최초 인지 시점인 18일 오후 6시9분과 45시간가량 차이가 납니다. 해킹 공격이라 판단한 18일 오후 11시20분을 기준으로 하더라도 만 하루를 넘긴 시점에 신고한 것입니다.
SK텔레콤 T타워. (사진=뉴스토마토)
지난 22일 SK텔레콤은 19일 오후 11시 유심 정보 일부가 유출된 것을 확인했고, 정확한 유출 원인과 규모, 항목 등을 지속적으로 파악 중이라고 밝혔습니다. 관련 법률에 따라 20일 KISA에 침해 사고 사실을 즉시 신고했고, 22일 오전 10시 개인정보보호위원회에 개인정보 유출 정황을 신고하고 관련 조사에 적극적으로 협조하고 있다고 알린 바 있습니다.
정보통신망법 시행령 제58조2에 따르면 침해 사고를 신고하려는 경우에는 침해 사고 발생을 알게 된 때로부터 24시간 이내에 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고해야 합니다. 이 조항은 지난해 8월 신설됐습니다.
최수진 의원실 관계자는 "소비자에게 피해 사실을 빨리 알려 추가적인 피해를 막으려 노력해야 하는데, 내부적으로 은폐하려 한 것"이라며 "기업윤리에도 문제가 있다고 볼 수 있다"고 말했습니다.
최 의원실에 따르면 KISA 역시 SK텔레콤이 24시간 내 해킹 공격을 보고해야 하는 정보통신망법을 위반한 것이라고 판단하고 있습니다.
SK텔레콤은 "침해 사고로 자체 판단한 이후 24시간 이내에 KISA에 침해 사고 신고를 하지 못한 부분은 사안의 중대성을 고려해 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것"이라며 "고의적인 지연 의도는 없었다"고 말했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지