유심 정보 해킹을 당한 SK텔레콤이 쉽게 탐지 가능한 악성코드 일종인 웹쉘을 서버 점검항목에 포함하지 않아 발견하지 못한 것으로 파악됐다. 이에 따라 기본적인 정보보호 활동이 미흡했다는 진단이 나왔다.
과학기술정보통신부는 4일 이 같은 내용을 담은 민관합동조사단의 SK텔레콤 침해사고 관련 최종 조사결과를 발표했다. 조사단은 이번 침해사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과 SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실을 확인했다.
우선 SK텔레콤은 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하고 있지만 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 이를 발견하지 못했다. 또한 전화번호의 마스킹 규칙이 담긴 정보를 통화상세기록(CDR)이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안 관리가 미흡했다. 마스킹 규칙은 개인정보 보호를 위해 전화번호의 일부를 별표(*) 등으로 가려 표시하는 것이다.
이에 과기정통부는 SK텔레콤이 △EDR △백신 등 보안 솔루션 도입 확대 △제로트러스트 도입 △분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검 및 제거 등 보안 관리를 강화할 것을 주문했다. EDR은 서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지·분석하는 도구다.
SK텔레콤은 협력업체로부터 공급받은 소프트웨어를 면밀히 점검하지 않고 내부 서버 88대에 설치한 것으로 조사됐다. 해당 소프트웨어에 탑재돼 있었던 악성코드는 서버에 유입됐다. 정부는 “SK텔레콤은 협력업체 공급 소프트웨어 등 외부 조직 및 서비스로부터 발생하는 위험에 대한 보호대책을 마련해 이행하는 등 공급망 보안체계를 구축해야 한다”고 주문했다.
과기정통부는 아울러 정보보호 최고책임자(CISO)를 최고경영자(CEO) 직속으로 강화할 것을 주문했다. SK텔레콤은 정보통신망법 제45조의3 등에 따라 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄하여야 하지만 보안 업무를 IT영역과 네트워크 영역으로 구분하고 CISO는 IT 영역만 담당하고 있다.
경쟁사 대비 정보보호 인력 부족도 문제로 지적됐다. 2024년도 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액 37억9000만 원(SK브로드밴드 포함)으로 통신사 평균 대비 작았다. KT의 경우 100만명당 정보보호 투자액이 90억8000만 원, LG유플러스는 57억5000만 원이다.
과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 이달 중 제출하도록 하고 SK텔레콤의 이행 여부를 점검할 계획이다. 이행점검 결과 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
coldmetal@sedaily.com
