SKT 정보보호 체계 문제 드러나…ISMS·법 위반도

(서울=뉴스1) 김정현 기자 = 정부가 SKT 해킹 사태 최종 조사 결과 발표에서 SK텔레콤의 정보보호 체계에 문제점이 발견됐다고 밝혔다. 법 위반 사례도 확인됐다. 향후 재발방지 대책도 요구할 방침이다.

과학기술정보통신부 민관합동조사단(조사단)은 4일 오후 정부서울청사에서 열린 최종 조사결과 발표에서 "이번 사고에서 SKT는 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등 3가지 문제가 있었다"고 발표했다.

먼저 SKT가 HSS 관리서버의 계정 정보를 타 서버에 평문으로 저장한 결과, 해커가 해당 정보를 활용해 HSS 관리서버 및 HSS를 감염시켰다.

현행 정보보호 및 개인정보 관리체계(ISMS) 인증기준 안내에 따르면 종이, 파일, 모바일 기기 등에 비밀번호 기록∙저장을 제한하고 있다. 부득이하게 기록∙저장해야 하는 경우, 암호화 등의 보호대책을 적용해야 하는데 이를 어겼다.

이에 정부는 SKT에 서버 등의 비밀번호 기록 및 저장을 제한하고, 필요한 경우 암호화해 저장하는 한편, 서버 접속을 위한 다중 인증 체계를 도입하도록 재발방지 대책을 마련토록 했다.

또 SKT가 지난 2022년 2월 23일 비정상 재부팅이 발생한 서버 점검 과정에서 악성코드를 발견해 조치하고도 KISA에 신고하지 않은 사실도 확인됐다. 현행 정보통신망법 상 신고 의무를 위반한 셈이다.

조사단 관계자는 "SKT는 당시 HSS 관리서버 비정상 로그인 시도 정황을 발견하고도 로그 기록 6개 중 1개만 확인해 해커의 서버 접속 기록을 확인하지 못했다"고 강조했다.

마지막으로 유심 복제에 활용될 수 있는 유심 인증키(Ki) 값 암호화도 하지 않고 저장된 사실도 지적됐다. 유심 인증키 암호화는 세계이동통신사업자협회(GSMA)도 권고하고 있으며, KT 및 LG유플러스도 암호화해 저장 중이다.

이뿐 아니라 SKT가 정보통신망법 상 준수 의무를 위반하고, 기본적인 정보보호 활동도 미흡했음이 확인됐다.

SKT는 지난 4월 18일 오후 11시 20분 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고 4월 20일 오후 4시 46분 한국인터넷진흥원(KISA)에 침해사고를 신고했다.

현행 정보통신망법 제 48조3항은 침해사고 인지 후 24시간 내 과기정통부 또는 KISA에 신고해야하는 의무를 규정하고 있다.

지난 4월 21일에는 과기정통부의 침해사고 원인 분석을 위한 자료 보전 명령에도 불구하고, SKT는 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치해 제출한 사실도 적발됐다.

정부는 자료보전 명령 위반을 수사기관에 수사 의뢰하고, 신고 의무 위반에는 과태료를 부과할 예정이다.

또 △웹쉘의 점검항목 미포함 △공급망 보안소홀(협력업체 SW 점검없이 서버 설치해 악성코드 유입) △정보보호 거버넌스 체계 미흡(CISO가 네트워크 아닌 IT 영역만 담당) △방화벽 로그 기록 4개월만 보관(자체 보안규정 6개월 보관 위반) △자산 비 체계적 관리 △정보보호 인력 및 투자 부족 등의 문제들도 지적됐다.

이에 대한 재발방지 대책으로는 △보안 솔루션 도입 확대 및 제로트러스트 도입 분기별 보안 취약점 정기점검 및 제거 △공급망 보안체계 구축 △CISO의 전사 보호정책 총괄 및 조직 강화 △중앙로그관리 시스템 구축 △정보기술최고책임자(CIO) 신설 △정보보호 인력 및 예산 규모 타 통신사 수준 확대 등을 요구하기로 했다.

향후 과학기술정보통신부는 SKT에 오는 7월까지 재발방지 대책에 따른 이행 계획을 제출하도록하고, 이행 여부를 오는 11월부터 12월 중 점검할 계획이다.

이행점검 후 보완이 더 필요한 사항에는 정보통신망법에 따라 시정조치를 명령할 예정이다.

또 국회 과학기술정보방송통신위원회 내 SKT 해킹사고 TF와 논의해 통신망을 안전하게 보호하기 위한 별도의 법제도 방안, 민간 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안도 마련하기로 했다.

Kris@news1.kr