SK텔레콤이 유심 해킹 정황 인지 시점을 두고 지연 보고 의혹을 사고 있는 가운데 조사 기관 내에서도 의견이 엇갈리고 있다.
24일 최수진 국민의힘 의원이 SK텔레콤으로부터 제출받은 자료에 따르면 SKT는 지난 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다. 이날 오후 11시 20분쯤 악성코드를 발견하고 해킹 공격을 받았다는 사실을 내부적으로 확인했고, 다음날인 19일 오전 1시 40분 어떤 데이터가 빠져나갔는지 분석을 시작했다고 주장했다.
SK텔레콤은 어떤 종류의 데이터가 빠져나갔는지 분석한 후 19일 오후 11시 40분 해커에 의한 악성코드로 가입자의 유심 관련 일부 정보가 유출되는 정황을 발견했다. 이후 20일 오후 4시 46분 한국인터넷진흥원(KISA)에 침해사고 신고를 접수했다고 전했다.
최 의원실은 사건의 최초 인지 시점을 18일 오후 6시로 하면 45시간 차이가 나 관련 법 상 24시간 이내에 신고해야 하는 규정을 위반했다고 지적했다.
이에 SK텔레콤 측은 의원실에서 말한 시간은 인정하면서도 “단순 이상으로 신고를 하지 않으며 실제 해킹이 됐는지 파악하는 시간도 필요하다”며 “구체적으로 어떤 현상이 발생했는지 분석하는데 하루의 시간이 소요된 것”이라고 말했다. 특히 “절대로 침해신고 사실을 숨기려고 고의로 지연한 사안은 아니다”라고 강조했다.
SK텔레콤의 침해사고 이후 과학기술정보통신부와 KISA는 피해현황 및 사고원인 조사 등을 진행하고 있으며 비상대책반을 구성했다. 이어 민관 합동조사단을 꾸려 조사 중이며 조사에 1~2개월 정도 소요될 것으로 보인다.
조사를 진행 중인 정부기관 내에서도 시점을 두고 입장 차이를 보이고 있다. 과기정통부 관계자는 “SK텔레콤 내에서도 다양한 부서가 있다 보니 의원실에 내용을 잘 못 설명한 것 같다”며 “현재 SK텔레콤 측에서 받은 기록 상 문제를 느낀 적이 없으며 신고는 제대로 접수가 된 것으로 보인다”고 말했다.
이어 “병원에 가더라도 정확한 진단을 위해 여러 과 의사들이 모여 확정을 하지 않느냐”며 “이런 부분이 법에서 말하는 침해사고 인지 시점”이라고 설명했다.
정보통신망법 시행령 제58조2에 따르면 침해신고를 신고하려는 경우 침해사고 발생을 알게 된 때부터 24시간 이내에 과기정통부장관 또는 KISA에 신고해야한다. 다만 추가로 확인되는 사실이 있을 경우에는 확인한 때부터 24시간 이내에 신고할 수 있게 했다.
KISA 관계자는 “해당 법은 최초로 신고를 할 때 발생 일시, 원인, 피해 내용 등 완벽하게 알지 못하는 경우가 있기에 생긴 조항”이라며 “최대한 빨리 신고를 할 수 있도록 도와주는 취지”라고 전했다. KISA 측은 SK텔레콤의 유출 인지 시점에 대해 언급은 피했으나 관련 법에 따라 해킹 사실에 대해 정보가 부족하더라도 신고를 해야한다고 설명했다.
앞서 지난 2023년 LG유플러스 개인정보 유출 사고 때도 해지고객 정보유출 사실을 뒤늦게 공지했다는 논란이 있었다. 당시 LG유플러스는 개인정보위와 협의를 하느라 늦어졌다는 입장이었으나 받아들여지지 않았다.
전날 월드IT쇼(WIS) 2025DP 참석한 유상임 과기정통부 장관은 기자들과 만나 “지난번 LG유플러스에서도 개인정보 유출이 있었고 이제 인공지능(AI) 기술로 이런 일이 잦아지고 사이버 공격이 커질 가능성이 있다”며 “회사들이 조금 더 보안에 신경을 써야 한다”고 언급했다.
