해킹 공격 입은 SKT, 정부 신고 규정 위반… 하루 지나 신고

크게보기

22일 서울 중구 SK텔레콤 본사. 2025.04.22. 서울=뉴시스

SK텔레콤이 유심 해킹 공격과 관련해 고객 정보 유출을 확인한 시점보다 하루 앞서 이상 징후를 인지했던 것으로 드러났다. 이에 따라 사고 인지 24시간 이내에 당국에 신고해야 하는 규정을 위반한 것으로 파악됐다.

24일 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 SK텔레콤으로부터 제출받은 자료에 따르면 SK텔레콤은 18일 오후 6시 9분 사내 시스템 데이터가 움직였다는 사실을 처음으로 인지했다. 이어 같은날 오후 11시 20분 악성코드를 발견해 해킹 공격을 당했다는 사실을 내부적으로 확인했다.

이후 SK텔레콤은 19일 오전 1시 40분 어떤 데이터가 빠져나갔는지 분석을 시작했다. 해커에 의한 악성코드 공격으로 이용자 유심 일부 정보가 유출된 정황을 확인한 것은 같은날 오후 11시 40분이었다.

정보통신망법에 따르면 정보통신서비스 제공자는 침해 사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 한다. 그러나 SK텔레콤이 KISA에 보고한 시점은 20일 오후 4시 46분이었다. 악성코드를 발견한 18일 오후 11시 20분을 기준으로 해도 만 하루를 넘긴 시점이다.

이와 관련해 SK텔레콤은 원칙적으로 KISA 규정을 위반하게 된 것은 맞으며 일부러 숨긴 것은 아니라고 해명했다. SK텔레콤 측은 “24시간 내에 KISA에 신고하지 못한 것은 사실이지만 신고에 필요한 최소한의 발생원인과 피해내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것”이라며 “고의적인 지연 의도는 없었다”고 했다.