과학기술정보통신부는 4일 정부서울청사에서 SK텔레콤 해킹 사고에 대한 민관합동조사단의 조사 결과를 발표하며 이번 사고의 책임이 SK텔레콤에 있으며 이용자가 계약을 해지할 경우 위약금을 면제받아야 한다고 밝혔다.

과기정통부는 SK텔레콤이 계약상 중요한 의무인 '안전한 통신 서비스 제공'을 위반했다고 판단했다. SK텔레콤 이용약관 제43조는 '회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다.

과학기술정보통신부는 SK텔레콤이 계정 정보 관리에 부실이 있었고, 과거 침해사고에 대한 대응이 미흡했으며, 중요 정보에 대한 암호화 조치도 충분하지 않았다고 지적했다. 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실도 확인됐다고 밝혔다.

또한 통신 사업자는 안전한 통신 서비스를 제공할 법적 의무를 지니고 있으며 국민의 일상이 통신망을 기반으로 이뤄지는 현실을 감안할 때 사업자의 서비스 안전을 위한 보호 조치는 계약 체결 시 매우 중요한 요소라고 강조했다.

이번에 유출된 유심(USIM) 정보는 이동통신망에 접속하고 안전하고 신뢰할 수 있는 통신 서비스를 제공하는 데 필수적인 요소다.

과기정통부는 이에 대해 "적절한 보호 조치가 이뤄지지 않으면 제삼자가 유심을 복제해 이용자 명의로 서비스를 이용하거나, 수신된 전화나 문자메시지를 가로챌 수 있는 위험한 상황이 발생할 수 있다"고 말했다.

과기정통부는 SK텔레콤이 사고 당시 유심 정보 보호를 위해 부정사용방지시스템과 유심보호서비스를 운영하고 있었지만, 해당 서비스의 가입자는 5만명 수준에 불과했고 시스템 자체도 복제 가능성을 완전히 차단하는 데에는 한계가 있었다고 지적했다.

또한 사고 이후 위약금 면제 적용 여부에 대한 판단을 위해 4개 법률기관에 자문을 의뢰한 결과, SK텔레콤의 과실이 인정된다면 위약금 면제 조항을 적용할 수 있다는 공통된 의견을 받았다고 밝혔다.

이어 추가로 5곳에 자문을 받은 결과, 이 중 4곳이 이번 사고를 SK텔레콤의 과실로 보고 유심 정보 유출이 안전한 통신 제공이라는 계약상 주요 의무를 위반한 것이라며 위약금 면제 사유에 해당한다는 의견을 냈다고 덧붙였다.

유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신업계는 물론 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사건"이라고 밝혔다. 이어 "SK텔레콤은 국내 1위 이동통신사업자로서 국민 생활 전반에 큰 영향을 미치는 만큼 이번 사고를 계기로 드러난 보안 취약점을 철저히 조치하고, 향후 정보 보호를 기업 경영의 최우선 순위에 둬야 한다"고 강조했다.

또한 "정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편해 국민이 신뢰할 수 있는 안전한 AI 강국으로 나아갈 수 있도록 지원하겠다"고 덧붙였다.