"이동통신"에 대한 통합검색 결과
통합검색(25)
정치(3)
검색결과 총 25건
방통위 "연말까지 위약금 면제" 권고, SKT "수락 어렵다" 결론 SK텔레콤이 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 권고를 수락하지 않는다. 4일 통신업계에 따르면 SKT는 전날까지였던 통신분쟁조정위원회의 회신 기한 내 의견서를 제출하지 않았다. 이로써 권고를 자동으로 수락하지 않게 된 셈이다. 지난달 방통위 통신분쟁조정위는 SKT 이용자가 올해 안에 이동통신 서비스를 해지할 경우 해지 위약금을 전액 면제하고 유선 인터넷 등과 결합한 상품에도 위약금을 반액 지급하라는 직권 조정을 결정했다. 권고는 SKT가 위약금 면제 마감 시한으로 지정한 7월 14일 이후 해지를 신청한 경우에도 위약금을 면제하라는 내용이었다. 여기에 더해 인터넷, IPTV 등 유선 서비스 결합 상품 해지로 이용자가 부담한 위약금(할인반환금)의 50%도 SKT가 지급하라고 했다. 이에 SKT 관계자는 "통신분쟁조정위원회의 결정에 대해 깊이 있게 검토했으나 회사에 미치는 중대한 영향과 유사 소송 및 집단 분쟁에 미칠 파급 효과 등을 종합적으로 고려해 수락이 어렵다고 결론 내렸다"고 전했다. 4월 발생한 해킹 피해 사고로 SK텔레콤은 소비자 보상금 5천억원, 정보보호 투자 금액 7천억원 등을 책정했고, 유심 교체 비용과 신규 영업 중단 기간 대리점이 본 손실 보전에도 2500억원을 지출했다고 밝혔다. 위약금 면제 규모는 알려지지 않았다. 직권 조정 결정은 양 당사자 모두 수락하면 성립된다. 한 쪽이라도 수락하지 않으면 조정 불성립으로 종결된다. 조정 권고는 법적 강제성은 띠지 않는다. SKT가 권고를 받아들이지 않음에 따라 조정을 신청한 당사자가 이 결과에 불복하면 소송으로 진행될 수 있다. KT도 SKT와 같은 날 내려진 방통위 통신분쟁조정위의 권고에 의견서를 제출하지 않아 받아들이지 않는다는 뜻을 정했다. 통신분쟁조정위는 KT가 1월 삼성전자 갤럭시 S25 사전 예약 당시 '선착순 1천명 한정' 고지를 누락하고 사은품 제공 혜택을 내걸고, 한정 인원수를 넘은 예약을 임의로 취소한 건과 관련해 예약 취소된 이용자의 혜택을 보장하라고 KT에 권고했다. KT 관계자는 "일반 예약자와 혜택 차액을 고려해 취소된 이용자에 대해 추가 보상한 점 등을 고려해 수용하지 않기로 결정했다"고 말했다.
2025.09.04
개인정보위, SKT에 과징금 1348억 '철퇴'…역대 최대 규모 개인정보보호위원회가 최악의 해킹 사고가 발생한 SK텔레콤에 과징금 1348억원을 부과했다. 2020년 개인정보위 출범 이래 역대 최대 액수다. 개인정보위는 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 개인정보위는 SKT의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했다고 밝혔다. 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점 등을 고려해 '매우 중대한 위반행위'로 판단했다고 설명했다. 위반행위를 시정하고 피해 회복을 위해 노력한 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 일부 감경했다는 것이 개인정보위 입장이다. 고학수 개인정보위원장은 전날 전체회의에 대해 "지금까지 SKT의 입장은 회사가 합리적인 선에서 할 수 있는 최선을 다했다는 입장이었는데, 어제는 문제가 있었고 죄송스럽게 생각한다는 쪽으로 달라졌다"고 언급했다. 또 "매우 매우 중대한 성격을 가진 정보가 유출됐는데 그 회사가 관리를 잘 못했다는 것에 관한 문제 인식을 대부분의 위원이 갖고 있었다"고 전했다. 개인정보위에 따르면 이번 해킹사고로 인해 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2696만건이었으나, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다. 조사 결과 해커는 2021년 8월 SKT 내부망에 첫 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후에는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다. 이용자 전체의 개인정보가 외부로 빠져나간 데에는 SKT가 기본적인 보안 조치를 제대로 하지 않았고, 관리에도 소홀했던 데 따른 것이라고 개인정보위는 판단했다. SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SKT 내부 관리망 서버로 접근을 제한 없이 허용했다. 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치에도 소홀했다. 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 예방할 기회도 놓쳤다. 시스템 내 서버에 대한 접근권한 관리도 소홀해, 다수 서버(약 2365개)의 계정정보(약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출할 수 있었다. 고 위원장은 SKT의 유출 데이터가 HSS에 있다가 싱가포르를 거쳐서 넘어간 흔적이 있다고 언급하며 해외 유출 가능성을 언급하기도 했다. 고 위원장은 "싱가포르를 거쳐서 어디로 갔는지 파악해야 한다"며 "수사당국에서 그에 대한 후속 조사를 하고 있는 것으로 안다"고 설명했다. SKT는 기본적인 보안 업데이트에도 소홀했다. 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 9년 전인 2016년 10월 보안 경보가 발령됐고, 보안 패치도 공개됐다. SKT는 이를 인지했음에도 같은 해 11월 해당 취약점을 가진 OS를 설치했고, 올해 4월 유출 당시까지도 보안 업데이트를 하지 않았다. 2020년부터 각종 상용 백신 프로그램이 관련 취약점의 실행을 탐지하고 있었음에도 이를 설치하지 않아 유출 사고가 발생했다. 가입자 인증과 이동통신 서비스 제공에 필수 인증정보인 유심 인증키(Ki) 2061만4363건을 암호화하지 않았다. 이를 평문으로 HSS DB 등에 저장해 해커가 유심 복제에 사용될 수 있는 유심 인증키 원본을 그대로 확보하도록 했다. 사내 개인정보보호책임자(CPO)의 역할도 IT 영역에 한정해 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태를 파악하지 못하고 있었다. 여기에 SKT는 개인정보가 유출된 이용자에게도 유출 사실을 뒤늦게 통지했다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SKT는 이행하지 않았다. 개인정보위가 5월 2일 즉시 유출통지를 할 것을 의결했으나 SKT는 같은 달 9일 '유출 가능성'에 대해서만 통지했고 7월 28일에야 ‘유출 확정’을 통지했다. 개인정보위는 SKT가 개인정보보호법에서 정한 최소한의 의무조차 이행하지 않았다고 지적했다. 개인정보위는 SKT에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 내렸다. 개인정보위는 SKT 해킹사태와 같은 사례가 또다시 발생하는 일이 없도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다. 일각에서 나오는 SKT의 행정소송 가능성에 대해 고 위원장은 "회사가 추후에 소송을 할지 여부는 제가 예단해서 얘기할 상황은 아닌 것 같다"며 "저희가 조사하고 처분하는 과정에서 TF를 꾸렸는데, 이례적으로 많은 인력을 투입했고 위원회가 할 수 있는 역량을 최대한 발휘했다"고 밝혔다. SKT는 "이번 결과에 무거운 책임감을 느끼며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔다.
2025.08.28
'보이스피싱과의 전쟁' 대응단 꾸리고 이통사-금융사 배상책임 지운다 최근 기승을 부리는 보이스피싱 범죄 근절을 위해 정부가 나섰다. 정부는 28일 윤창렬 국무조정실장 주재로 '범정부 TF(태스크포스)' 회의를 열어 '보이스피싱 근절 종합대책'을 확정·발표했다. 이번 대책은 '예방 중심의 유관기관 통합 대응을 통한 보이스피싱 근절'을 목표로 한다. ▲ 대응 거버넌스 개편 ▲ 예방중심·선제대응 ▲ 배상책임·처벌강화 등을 중심축으로 구성됐다. 다음 달부터 경찰청을 중심으로 여러 관계기관이 참여하는 '보이스피싱 통합대응단'이 출범한다. 대응단은 365일 24시간 가동되며, 이를 위해 기존 통합신고대응센터의 43명 규모 상주인력을 137명으로 대폭 늘린다. 상담·분석·차단·수사까지 연계하는 실시간 대응 체계를 마련해 범죄에 이용된 전화번호는 10분 이내 긴급 차단토록 할 방침이다. 이동통신사 및 금융기관의 관리 및 배상 책임도 대폭 강화된다. 이통사(알뜰폰사 포함)는 향후 특정 대리점·판매점에서의 외국인 가입자 급증 등 휴대전화 개통 관련 이상 징후 판별 기준을 마련해 모니터링하면서 이상 징후가 있을 경우 과학기술정보통신부에 신고해야 한다. 이통사의 관리 의무 소홀로 휴대전화 불법 개통이 다수 발생할 경우 정부는 해당 이통사에 대해 등록 취소나 영업 정지 등 강력한 제재를 부과한다는 방침이다. 정부는 이를 위해 향후 ‘전기통신사업법’ 개정을 예고했다. 또 대포폰이 유통되는 것을 막기 위해 외국인 여권으로는 기존 2회선에서 1회선만 개통할 수 있게 된다. 개통 시 본인 확인 과정에 '안면인식 설루션'을 통해 신분증과 실제 얼굴이 동일한지도 더 확인한다. 정부는 금융회사와 같이 보이스피싱 예방에 책임 있는 주체가 피해액의 일부 또는 전부를 배상할 수 있도록 법제화할 방침이다. 금융회사의 보이스피싱 예방 노력을 이끌어내고, 내실 있는 피해 구제가 이뤄지도록 하겠다는 것이다. 영국·싱가포르와 같이 보이스피싱 피해에 대한 금융회사의 무과실 책임을 인정하는 해외 사례를 참고해 제도개선 방안을 꾸릴 예정이다. 새로운 범죄 탐지 체계의 하나인 '보이스피싱 AI(인공지능) 플랫폼'도 구축한다. 이 플랫폼은 보이스피싱 관련 금융·통신·수사 등 전 분야 정보를 모아 AI 패턴 분석 등을 통해 범죄 의심 계좌를 파악하고, 피해 발생 전 해당 계좌를 정지하는 등의 조치에 활용된다. 제조사·이통사는 앞으로 정부가 제공한 보이스피싱 데이터 및 AI 기술을 활용해 탐지 기능이 기본 장착된 단말기 출시를 확대할 계획이다. 범죄 수사와 관련, 경찰청은 국가수사본부장을 단장으로 하는 '보이스피싱 TF'를 운영하는 등 전국 단위 전담 수사 체계를 구축한다. 전국 수사 부서에 400여명 규모의 전담 수사 인력을 증원하고 5개 중점 시도경찰청(서울·부산·광주·경기남부·충남)에는 피싱범죄 전담수사대·팀을 신설한다. 다음달부터 내년 1월까지 5개월간을 '보이스피싱 특별 단속기간'으로 지정해 단속에 주력할 방침이다. 여기에 더해 법무부 주관 '해외 보이스피싱 사범 대응 범정부 TF'를 운영해 해외 체류 총책급 범죄자의 검거 및 피해금 환수에도 주력한다. 이밖에도 정부는 ▲ 악성앱 3중 차단체계 구축 ▲ 금융회사 전담인력 의무화 ▲ 오픈뱅킹 안심차단 서비스 구축 ▲ 사법 협조자 형벌 감면제도 도입 ▲ 형법상 사기죄 법정형 상향 ▲ 범죄 예방 콘텐츠 및 교육 프로그램 제작 등을 추진한다. 윤창렬 실장은 "정부는 이번 대책을 통해 보이스피싱을 반드시 근절하겠다는 굳은 의지를 가지고 있다"며 "의심되는 전화와 문자는 절대 대응하지 말고 곧바로 신고해주시길 바란다"고 당부했다.
2025.08.28
방통위 "SKT 위약금 면제 기한, 근거 없어…연말까지 면제해야" 방송통신위원회가 SK텔레콤 해킹 사고로 인한 위약금 면제 시한을 지난달 14일까지로 정한 것은 잘못됐다고 판단했다. 방통위는 21일 통신분쟁조정위원회가 올해 안에 SKT 이용자가 이동통신 서비스를 해지할 경우 해지 위약금을 전액 면제하고 유선 인터넷 등과 결합한 상품에도 위약금을 반액 지급하라는 내용의 직권 조정 결정을 내렸다고 밝혔다. 통신분쟁조정위는 법률 및 정보통신 전문가, 소비자단체 관계자 등으로 꾸려진 방통위 산하 법정기구다. 결정에 법적 강제성은 없지만 당사자가 불복할 경우 소송으로 이어질 수 있다. 통신분쟁조정위원회는 KT가 1월 삼성전자 갤럭시 S25 사전 예약 당시 '선착순 1천명 한정' 고지를 누락한 채 사은품 제공 혜택을 내걸고, 해당 인원수를 넘은 예약에 대해서는 임의로 취소한 건에 대해서도 KT가 예약 최소된 이용자의 혜택을 보장하라고 판단했다. 방통위는 통신분쟁조정위원회가 이날 SKT 해킹 관련 위약금 분쟁 조정 신청과 KT의 갤럭시 S25 사전 예약 취소 관련 조정 신청에 대해 두 통신사의 책임을 각각 인정하는 직권 조정 결정을 내렸다고 밝혔다. SKT가 지난달 14일을 위약금 면제 마감 시한으로 지정해, 이를 지나 해지를 신청한 경우 위약금을 물어야 하는 데 대해 분쟁 조정 신청이 제기됐다. 이에 위원회는 올해 안에 이용자가 이동통신 서비스 해지를 신청할 경우 해지 위약금을 전액 면제하라고 결정했다. 위원회는 "고객의 정당한 계약 해지권은 법률상 소멸 사유가 없는 한 그 행사 기간을 제한하거나 소멸시킬 근거가 없다"며 "SKT가 안내한 위약금 면제 해지 기한은 법리상 근거가 없다"고 했다. 지난달 4일 위약금 면제 발표 이후 같은 달 14일까지 열흘 남짓한 위약금 면제 마감 시한도 상당히 짧았고 한 차례 문자 안내 등으로는 소비자가 인지하기 어려웠던 점도 함께 지적했다. 또 SKT가 해킹 사고 후속 조치로 이동통신 서비스 위약금 면제를 결정하자 인터넷, IPTV 등 유선 서비스와 결합 상품도 위약금을 없애줘야 한다는 분쟁 조정 신청 2건이 접수됐다. 이에 분쟁조정위는 유무선 결합 상품 해지로 인해 이용자가 부담한 위약금(할인반환금)의 50%를 SKT가 지급하라고 결정했다. 위원회는 결합 상품 해지는 SKT의 과실에 따른 불가피한 조치며, 이동통신과 인터넷 등의 결합 상품이 하나의 통합 상품처럼 판매되는 측면이 있는 점 등을 근거로 삼았다. 위원회는 KT가 사전 예약 혜택을 1천명 한정으로 한 뒤 이를 넘어선 대상자를 예약 취소한 것에 대해서는 통신사가 휴대전화를 공급하기 곤란한 사정이 있었다고 인정하기에 부족하다며 KT가 혜택에 상응하는 손해를 부담할 의무가 있다고 판단했다. KT는 이벤트 당시 네이버페이 10만원권 등을 지급하겠다고 약속했으므로 KT에 의해 예약이 취소된 이용자에도 동일한 혜택이 주어져야 한다는 것이다. 한편 직권 조정 결정은 양 당사자 모두 수락하면 성립되지만 한 쪽이라도 수락하지 않으면 조정 불성립으로 종결된다. 방통위의 결정에 SKT 관계자는 "직권 조정안을 면밀히 검토해 대응할 계획"이라고 말했다. KT 관계자는 " 조정안 수락 여부를 신중히 검토하겠다"며 "진행 중인 방통위의 사실조사에도 성실하게 협조하고 추가 이용자 피해가 발생하지 않도록 노력하겠다"고 했다.
2025.08.21
단통법 폐지…지원금 공시 의무·추가지원금 상한 사라진다 이동통신 단말기 유통 시장을 규제해온 '이동통신 단말장치 유통구조 개선에 관한 법률', 이른바 단통법이 22일 폐지됐다. 이날부터 이동통신사의 단말기 지원금 공시 의무가 사라진다. 공시지원금의 15% 한도로 제한됐던 추가지원금 상한도 없어진다. 이제부터 이동통신사는 '공통 지원금' 형태로 보조금을 지급하고, 유통점은 이와 무관하게 자율적으로 추가 보조금을 책정할 수 있다. 만약 출고가 100만 원인 휴대전화에 공시지원금이 50만 원이었을 경우, 기존에는 최대 7만5천 원까지만 추가지원금이 가능했지만 앞으로는 유통점에 따라 보조금 규모가 달리 책정되는 것이 가능하다. 기존에는 불법이었던 '페이백' 등 각종 지원금도 계약서에 명시하면 허용된다. 단말기 출고가를 전액 지급하거나 단말기보다 보조금이 더 높은 '마이너스폰'도 이론적으로 가능하다. 공시 의무는 없지만 이동통신사들은 방통위와의 협의에 따라 자율적으로 홈페이지에 공통 지원금 정보를 일 단위로 게시할 예정이다. 단말기 보조금 대신 월 통신 요금을 최대 25%까지 할인받는 선택약정 할인 제도는 유지된다. 기존에는 선택약정 이용 시 추가지원금을 받을 수 없었으나 이제는 중복 수령이 가능하다. 방통위는 전날 유통망을 대상으로 변경된 제도에 대한 교육·전달 현황을 재점검했다. 이동통신사와 함께 구성한 '단통법 폐지 대응 TF'를 지속해 운영하고 시장 모니터링도 이어갈 예정이다. 보조금 수준이 실제 어느 정도로 형성될지는 시장 상황에 따라 달라질 것으로 보인다. 한편 25일 삼성전자의 신형 폴더블폰 '갤럭시 Z 플립7·폴드7'가 출시되고, 3분기에는 애플의 아이폰17이 선보일 예정이다.
2025.07.22
SKT 위약금 면제에 이통3사 공격적 마케팅…방통위, 실태점검 SK텔레콤 위약금 면제 결정에 이동통신 3사의 치열한 마케팅을 펼치고 있다. 7일 통신업계에 따르면 방통위는 이통 3사의 허위과장광고 등 이용자 피해를 유발하는 과도한 마케팅에 대해 실태점검을 펼치고 있다. 앞서 4일 SK텔레콤이 번호 이동하는 가입자의 위약금을 면제하기로 결정하면서 이탈자를 유치하기 위해 경쟁사인 KT와 LG유플러스가 공격적인 마케팅을 진행하고 있다. 방통위는 이날 이통 3사 마케팅 임원을 소집해, 진행 중인 실태점검에 대해 불법행위 적발 시 조사 등 관련 조처를 할 것임을 공표한 것으로 알려졌다. SK텔레콤은 이날 KT의 불법 보조금 살포와 소비자 불안감을 조성하는 마케팅 행태를 조사해달라는 내용의 신고서를 방송통신위원회에 제출했다. 앞서 KT는 유통망 고객 대응 시나리오에 '지금 번호가 우리 아이에게 위험할 수 있다, 'SKT가 위약금 없이 보내주는 이유는 '우린 막을 수 없다'는 구조 신호다' 등의 멘트를 포함해 영업 활동을 진행한 것으로 알려졌다. 불법 보조금 문제도 불거지고 있다. 지난 주말 강변 테크노마트에서 갤럭시 S25(256GB 모델)는 번호이동 조건으로 5만~15만원대에 판매됐다. 출고가 135만3천원에서 공시지원금 50만원(10만9천원 요금제 기준)을 제외하면, 80만원 안팎의 불법 보조금이 붙은 셈이다. 한편 위약금 면제 첫 날인 지난 5일 SK텔레콤 가입자는 3865명 순감한 것으로 나타났다. SK텔레콤은 "이번 사이버 침해사고 관련 경쟁사의 법 위반에 대해 예의주시하고 있다"며 "다만 신고 여부는 확인하기 어렵다"는 입장을 밝혔다.
2025.07.08
SKT, 1조원대 '고객 보상·정보보호 강화' 대책…위약금 면제 받아들여 SK텔레콤이 해킹 사태에 대한 책임으로 1조원대 고객 보상 및 정보보호 강화 대책을 내놓고 정부의 위약금 면제 요구도 수용했다. 유영상 SK텔레콤 대표는 4일 서울 중구 본사에서 8월 요금 50% 할인, 매월 데이터 추가 제공 등 5천억원 규모의 '고객 감사 패키지'와 함께 향후 5년간 총 7천억원 규모를 투자한다는 내용의 정보보호 혁신안을 발표했다. SKT는 침해 사고가 일어난 4월 18일 24시 기준으로 가입 약정이 남은 가입자 중 침해사고 이후 해지했거나 14일까지 해지 예정인 가입자를 대상으로 위약금을 면제한다. 약정이 남아있는 가입자도 단말 지원금 또는 선택약정할인 대금을 반환하지 않아도 된다. 다만 단말기 할부금은 단말기 자체를 할부로 구매한 것이어서 위약금 면제 대상에 해당하지 않는다. SK텔레콤은 '고객 감사 패키지'에 따라 이달 15일 0시 기준 SKT와 SKT 망을 사용하는 알뜰폰 가입자 약 2400만명을 대상으로 별도 신청 절차 없이 8월 통신 요금을 50% 할인하기로 했다. 또, 다음 달부터 연말까지 전 고객에게 매월 데이터 50GB를 추가 제공하며 뚜레쥬르, 도미노피자, 파리바게뜨 등 주요 제휴사와 제품 할인 프로모션을 진행한다. 침해 사고 이후 해지한 고객이 해지일로부터 6개월 이내 재가입할 경우에는 별도 절차 없이 가입 연수, 멤버십 등급을 원상복구할 방침이다. SK텔레콤은 정보보호 투자액을 향후 5년간 7천억원 규모로 끌어올려 국내 통신·플랫폼 기업 중 최대 수준으로 확대한다고 발표했다. 최고 수준의 정보보호 인력을 영입하고 내부 전담 인력을 육성하는 등 정보보호 전문 인력을 기존 대비 2배로 확대한다. 최신 사이버 위협까지 대응 가능한 세계적인 수준의 모바일 단말 보안 솔루션 '짐페리움'을 모든 가입자에게 하반기부터 1년간 무상으로 제공할 예정이다. 이번 해킹 사고로 유심 복제 피해가 일어날 경우 외부 기관과 피해 보상 프로세스를 지원하는 '사이버 침해 보상 보증 제도'를 도입하고 사이버 침해 관련 기업 보험 한도를 기존 10억에서 1천억으로 상향하기로 했다. 정보보호 기금 100억원을 출연해 국내 정보보호 생태계 활성화에도 나설 방침이다. SKT 이사회에 보안 전문가를 영입하고 회사 보안 상태를 평가하고 개선하는 레드팀을 신설하고, 정부 조사에서 고객관리망 보안만 책임지고 네트워크 보안을 소홀히 했다고 지적받은 정보보호최고책임자(CISO) 조직을 최고경영자(CEO) 직속으로 재편한다. 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P) 인증 대상을 이동통신 인프라 및 시스템으로 확대하고, 공공기관에 한해 의무 시행 중인 개인정보 영향 평가도 적용할 계획이다. SKT는 미국 국립표준기술연구소(NIST)의 사이버 보안 프레임워크(CSF)를 바탕으로 현재 보안 체계를 분석, 3년 뒤 국내 최고 수준에 도달하고 5년 후에는 글로벌 최고 수준의 보안체계를 구축한다는 목표를 밝혔다. 유영상 대표는 "이번 침해사고에 대해 다시 한번 깊이 사과드리고, 고객이 안심하고 맡길 수 있는 수준의 정보보호 체계 구축에 최선을 다하겠다"고 말했다.
2025.07.04
정부 "SKT 위약금 면제해야…회사 귀책사유로 피해자 손해보면 안돼" 정부가 SK텔레콤 해킹 사고로 이용자가 계약을 해지할 경우 위약금을 면제해야 한다고 밝혔다. 과학기술정보통신부는 4일 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단 조사 결과를 공개하며 이번 사고 책임은 SK텔레콤에 있고 계약상 중요한 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다고 발표했다. 전날 이재명 대통령은 "계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다"고 밝혔다. SK텔레콤 이용약관 제43조는 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다. 과기정통부는 면책 조항을 고려하더라도 피해가 중대하고, SK텔레콤에 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 같은 문제가 있었던 데다 SK텔레콤이 정보통신망법을 위반한 사실도 확인됐다고 지적했다. 또 통신 사업자에게는 안전한 통신 서비스를 제공할 법적 의무가 있으며, 국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약 시 중요한 요소라고 덧붙였다. 이번에 유출된 유심 정보는 이동통신망에 접속하고, 안전하고 신뢰할 수 있는 통신서비스를 위한 필수 요소이다. 따라서 적절한 보호 조치가 없다면 제삼자가 유심을 복제해 이용자 번호로 서비스를 이용하거나 걸려 온 전화·문자를 가로챌 위험할 상황을 초래할 수 있다고 과기정통부는 강조했다. 과기정통부는 사고 당시 SK텔레콤은 유심 정보 보호를 위해 부정사용방지시스템과 유심보호서비스를 운영 중이었지만 서비스 가입자는 5만명뿐이었고 시스템 자체도 모든 복제 가능성을 차단하는 데 한계가 있었다고 지적했다. 과기정통부는 SK텔레콤이 만약 위약금 면제 판단에 반대한다면 전기통신사업법에 따라 시정명령을 요구하고, 이행되지 않으면 등록취소 등의 조치까지도 할 수 있다고 밝혔다. 또 해킹 사고 후 번호이동을 한 가입자들에게는 위약금에 대한 환불 조치가 당연히 이뤄져야 한다고 덧붙였다. 다만 이번 판단은 SK텔레콤 약관과 이번 사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적 해석은 아니라고 강조했다. 류제명 과기정통부 2차관은 "국민적 관심이 높은 사안이기 때문에 SK텔레콤이 소비자가 혼란을 겪지 않도록 조속한 시일에 구체적인 방안을 내놓지 않을까 기대한다"고 밝혔다. 과기정통부는 사고 초기 위약금 면제 규정 적용 여부를 검토하기 위해 4개 기관에 법률 자문을 한 결과, 조사 결과에서 SK텔레콤 과실이 인정된다면 위약금 면제 규정을 적용할 수 있다는 공통된 의견을 받았다고 밝혔다. 또 마무리 시점에 5곳에 추가로 자문한 결과 4곳에서 이번 사고를 SK텔레콤의 과실로 판단했고 유심 정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반한 것이므로 위약금 면제 대상이라는 의견을 냈다고 덧붙였다. 유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사고였다"고 밝혔다. 유 장관은 "SK텔레콤은 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보 보호를 기업 경영의 최우선 순위로 둬야 할 것"이며 "정부도 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 안전하고 신뢰받는 AI 강국으로 도약할 수 있게 지원하겠다"고 했다.
2025.07.04
SKT, 2021년 해커 공격 받고도 자체 대응하다 문제 키워 SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사 결과 해커의 공격은 2021년부터 이뤄졌다는 점이 밝혀졌다. 또 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 문제를 키운 사실이 드러났다. 과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다. 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속해, 다른 서버에 침투하려 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있었다. 핵심 서버들에 접근할 수 있는 정보를 얻어낸 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다. 해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다. 해커는 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝힌 바 있다. 조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고 밝히기도 했다. SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입된 것이다. 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고 SKT 서버를 직접 공격한 해커 행위와는 무관해 보인다. 조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했다. 한편 SK텔레콤은 해커가 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체 해결책으로 대응하다 문제를 키운 것으로 조사됐다. 조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 이 과정에서 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 밝혔다. SK텔레콤은 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 일었다. 2022년 당시 점검 과정에서 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했다. 하지만 로그기록 6개 중 1개만 확인해, 공격자가 서버에 접속한 기록은 발견하지 못한 것으로 조사됐다. 조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 지적했다. 조사단은 또 SK텔레콤이 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 것이다. 조사단은 "비밀번호를 종이, 파일, 모바일 기기 등에 기록하는 것을 지양하고 부득이하게 할 경우 암호화 등의 보호 대책을 적용하라는 것이 정보보호 및 개인정보보호 관리체계 인증 기준"이라며 SKT에 서버 접속을 위한 다중 인증 체계 도입을 요구했다. 또 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등은 하고 있지만 SKT만 암호화하지 않은 점, 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했다. 조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔다. 조사단은 ▲ 통신기록(CDR)을 임시 저장 서버에 저장한 점 ▲ 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았다. 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다. 조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황은 없었다고 밝혔다. 하지만 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 확신하기 어렵다. 조사단은 "SKT가 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"면서 로그기록의 6개월 이상 보관, 중앙로그관리시스템 구축 등을 요구했다. SKT가 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다. 과기정통부는 SK텔레콤이 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했다. 또 SK텔레콤에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라며 이행 여부를 올해 말 점검하겠다고 밝혔다.
2025.07.04
[북부파수꾼의 법생각] 휴대폰 번호로 온 전화인데도 보이스피싱인가요? 주변 지인들이 저에게 “요즘은 어떤 사건이 많아?”라고 종종 물어봅니다.그리고 저는 “몇 해간 '보이스피싱' 관련 사건이 많아”라고 대답하고 있습니다.그러면 주변 지인들은 “아직도 사람들이 보이스피싱 피해를 당하냐”며 깜짝 놀라 반문합니다. 정부를 비롯한 공공기관과 은행에서 대대적으로 보이스피싱 범죄수법을 알리고, 이에 대해 대비할 수 있도록 장치들을 마련해두고 있지만 여전히 보이스피싱 범죄는 활개를 치고 있습니다. 또한 이제는 010으로 시작하는 번호로 보이스피싱 전화가 오는 경우도 있는데요. 최근 유행하는 수법 중 하나는 “재발송되는 법원등기 우편을 평일 낮에 받을 수 있냐”며 물어보고, 어렵다고 하면 “인터넷으로 확인할 수 있게 도와준다”고 유도하며 개인정보 탈취 등의 범죄를 저지르는 것입니다. 해당 보이스피싱의 특징은 010으로 전화가 걸려오는 점, 전화를 받자마자 본명("ㅇㅇ씨 맞으시죠?")을 언급하는 식으로 미리 피해자가 될 수 있는 개인의 신상정보(이름, 주소 등)를 어느 정도 파악하고 피싱 전화가 걸려온다는 점에서 더욱 많은 피해자를 발생시킨다는 점입니다. 그 이후의 수법들도 매우 교묘해 누구나 쉽게 속을 수 있는데요. 실제 공문서와 같이 가짜 서류를 위조하는 것은 물론, 인터넷 접속 시 들어가게 되는 사이트도 정교하게 위조해 피해자의 방심을 유도한다고 합니다. 이런 보이스피싱 피해를 당했을 때는 어떻게 해야 할까요? 우선 경찰청 112, 금감원 1332, 혹은 해당 은행 콜센터로 전화를 해서 ‘본인 계좌 지급 정지’를 요청해야 합니다. 해당 제도는 사기범에게 돈을 송금했을 경우, 은행에 요청하여 해당 계좌를 동결시키는 제도인데요. 금융결제원 ‘계좌정보통합관리서비스’ 사이트에 접속해서도 가능합니다. 그 후에는 경찰서(사이버 수사대)에서 발급한 사건사고사실확인원 등의 증빙서류와 함께 지급 정지를 신청한 영업점에 피해구제신청을 하면 사기 계좌에 남아있는 잔액에 한해 피해금을 돌려받을 수 있다고 합니다. 다음으로 휴대전화 초기화나 악성앱 삭제를 진행해야 하며, 당장에 초기화가 어렵다면 휴대전화 전원을 끄거나 비행기모드 전환을 하는 것이 좋습니다. 그와 함께 다른 휴대전화 및 PC를 사용하여 ‘금감원 개인정보 노출자 사고예방시스템’에 접속하여 개인정보 노출사실 등록을 해야 하는데요. 본인 확인 후 개인정보 노출사실을 등록하여 신규계좌 개설, 신용카드 발급 등의 제한이 가능합니다. 또한 ‘한국정보통신진흥협회 명의도용방지 서비스’에 접속하여 가입사실현황조회 서비스 메뉴로 들어가 본인명의로 개설된 휴대전화 개설 여부를 확인할 수 있는데요. 만약 명의도용 휴대전화가 개통된 경우에는 즉시 해당 이동통신사에 회선 해지 신청 및 명의도용 신고를 진행하고, 가입제한 서비스를 통해 본인명의 휴대전화 신규 개설을 차단하는 것이 바람직합니다. 더불어 위와 같은 조치를 실행한 이후에도 금융회사 및 경찰 안내 등에 따라서 기존의 인증서 폐지 및 재발급, 신분증 분실신고 등 필요한 추가 조치를 실시하는 것이 중요합니다. 도저히 따라잡기 어려운 속도로 다양해지고 있는 보이스피싱을 예방하기 위해서는 금융감독원에서 강조하듯이 늘 의심하고, 꼭 전화 끊고, 또 확인하는 습관을 가져야 하겠습니다.
2025.06.17
