2025년 4월 발생한 SK텔레콤 유심정보 유출 사고에 대해 과학기술정보통신부는 7월 4일 민관합동조사단의 최종 조사결과를 발표했다. 이번 사고는 총 2,696만건에 이르는 유심 가입자 식별번호(IMSI) 등 민감정보가 유출된 대형 침해사건으로, 국내 1위 이동통신사의 보안관리 부실이 적나라하게 드러났다는 점에서 충격을 안겼다.

3년에 걸친 장기 침투와 내부 보안관리 총체적 실패

공격자는 2021년 8월, 외부 인터넷 연결이 가능한 시스템 관리망 서버에 악성코드(CrossC2)를 설치하며 침투를 시작했다. 이후 평문으로 저장된 계정정보를 활용해 코어망의 음성통화 인증서버(HSS)까지 접근하였고, 2022년 6월에는 고객관리망에도 악성코드를 설치한 정황이 확인되었다. 이처럼 공격자는 수년에 걸쳐 네트워크 전반에 잠입한 상태였으며, 2025년 4월 18일, 총 9.82GB 분량의 유심정보를 외부로 유출한 것으로 파악됐다.

조사단은 이같은 침해가 가능했던 배경으로 SK텔레콤의 보안관리 부실을 크게 세 가지로 지적했다. 첫째, 서버 간 계정정보를 평문으로 저장하고 비밀번호를 장기간 변경하지 않는 등 계정관리의 기본 원칙이 지켜지지 않았고, 둘째, 2022년 침해 정황 발견 시에도 관련 조치와 침해사고 신고 의무를 다하지 않았으며, 셋째, 유심 인증키(Ki)와 같은 주요 정보를 암호화하지 않고 저장하는 등 핵심 데이터 보호 체계가 미흡했다. 이 외에도 로그기록 보관기간 부족, 보안점검 항목 미비, 협력사 공급 소프트웨어 점검 미흡 등 총체적 보안 거버넌스의 결함이 드러났다.

과실 인정과 위약금 면제 판단… 정부의 법적 해석

정보통신망법 위반 사항으로는 사고신고 지연과 자료보전 명령 불이행 등이 확인되었으며, 과기정통부는 과태료 부과와 수사기관 의뢰 등의 제재 조치를 예고했다. 동시에 SK텔레콤의 이용약관상 "회사 귀책 사유"에 해당함을 인정하여, 피해 이용자의 위약금 면제가 가능하다는 해석도 발표했다. 다만 이는 본 사고에 한정된 판단임을 명확히 하였다.

SKT '책임과 약속' 발표… 사과와 함께 7천억 투자, 요금 감면

SK텔레콤은 정부 조사 결과 발표 직후 이사회를 열고, 고객 신뢰 회복을 위한 종합 대응안인 '책임과 약속' 프로그램을 발표했다. 이 프로그램은 고객 안심 패키지, 정보보호 혁신안, 고객 감사 패키지, 약정고객 위약금 면제 등 네 가지 축으로 구성된다.

먼저, '고객 안심 패키지'에는 유심보호서비스 전국민 적용, 비정상 인증 차단 시스템(FDS) 고도화, 전 고객 대상 유심 교체, 글로벌 보안솔루션(Zimperium) 무상 제공, 사이버 보상 보증제도 도입 및 사이버 보험한도 확대(10억 → 1,000억) 등이 포함된다.

둘째, '정보보호 혁신안'에는 향후 5년간 SK브로드밴드와 합산 7,000억 원을 투자하여 정보보호 인력 2배 확대, 제로트러스트 기반 체계 도입, 이사회 보안전문가 영입, 레드팀 운영, 화이트해커 정기 점검 등 거버넌스와 기술을 아우르는 중장기 계획이 담겼다.

셋째, '고객 감사 패키지'는 7월 15일 0시 기준 SKT 고객 및 SKT 망을 사용하는 알뜰폰 고객을 포함한 약 2,400만 명 전원을 대상으로 한다. 이들은 8월분 통신요금의 50%를 자동 감면받으며, 8월부터 12월까지 5개월간 매월 데이터 50GB를 추가로 제공받는다. 단, 해당 데이터는 이월이 불가능하고, 일부 청소년 요금제 등에서는 사용 제한이 있다. 또한 T멤버십을 통해 도미노피자, 뚜레쥬르, 파리바게뜨 등 제휴 브랜드에서 매월 릴레이 형식으로 50% 이상의 할인 혜택을 제공받을 수 있다. 그러나 이 경우 고객이 자비로 결제해야만 혜택을 누릴 수 있어 실질적인 금전적 보상으로 보기 어렵다는 지적도 있다.

전체 보상 규모는 약 5,000억 원으로 추산되며, 경제적 부담 완화와 고객 만족 제고를 목표로 하나, 실질적으로 체감 가능한 보상은 8월 통신요금의 50% 감면에 국한된다는 평가가 있다.

넷째, 위약금 면제는 2025년 4월 18일 24시 이전에 약정을 체결한 고객 중 침해사고 이후인 4월 18일 24시부터 7월 14일까지 해지했거나 해지를 신청한 고객을 대상으로 적용되며, 해당 고객은 기납부한 위약금도 환급받을 수 있다. 다만, 단말기 할부금은 통신 서비스 약정과 별개의 구매계약으로 위약금 면제 대상에 포함되지 않는다.

유영상 SK텔레콤 대표는 “이번 사고에 대해 다시 한 번 깊이 사과드리며, 고객이 안심할 수 있는 정보보호 체계 구축에 최선을 다하겠다”고 밝혔다.

제도 개편과 실효적 보상, 신뢰 회복의 관건

SK텔레콤 침해사고는 단순한 기술적 위협을 넘어 통신 인프라 전반에 대한 국민 신뢰의 위기로 이어졌다. 조사를 통해 드러난 계정 관리 부실, 암호화 미흡, 사고 대응 실패는 통신사업자의 구조적 보안 취약성과 조직적 대응 한계를 여실히 보여줬다. 과기정통부는 위법 사항에 대한 과태료 및 수사 의뢰와 함께, 정보보호 인력 확대, 최고경영자 직속 조직 개편, 정보 암호화 강화 등 전사적 조치를 SK텔레콤에 요구했다. 동시에 정부는 민간 전반에 대한 정보보호 제도 개선을 위한 입법 논의에 착수하고, 인공지능 시대를 고려한 규제 거버넌스를 강화하겠다는 방향을 명확히 했다.

이에 SK텔레콤은 "책임과 약속" 프로그램을 통해 고객 안심 패키지, 정보보호 혁신안, 보상 및 위약금 면제 등 다각적 대응에 나섰으며, 향후 5년간 7,000억 원 규모의 정보보호 투자를 단행하겠다고 밝혔다. 고객 대상 요금 감면, 데이터 제공, 멤버십 확대 등이 포함되어 있으나, 데이터 50GB는 이월이 불가능하고 일부 요금제에서는 사용 제한이 있어 실질적 활용도가 낮다는 지적이 제기되고 있다. 특히 멤버십 할인 혜택의 경우 고객이 자비로 결제를 해야 혜택을 누릴 수 있는 구조로, 실질적인 금전적 보상으로 보기는 어렵다는 비판도 나온다. 결과적으로 이용자가 직접 체감할 수 있는 실질적 보상은 8월 통신요금의 50% 감면에 국한된다는 평가도 있으며, 이에 따라 이번 조치가 피해 보상으로서 충분한지에 대한 논의가 이어지고 있다.

SK텔레콤의 이행계획은 8~12월간 정부 점검을 받게 되며, 개선 미흡 시 시정조치가 예고돼 있다. 이번 사고는 기업과 정부가 공동으로 신뢰 회복을 위한 구조적 개편에 나서야 한다는 현실을 분명히 보여주었으며, 통신 인프라 보안 수준 제고와 국민 보호를 위한 정책적 지속성 확보가 관건으로 떠오르고 있다.