유영상 SK텔레콤 대표가 유심 해킹 사고와 관련해 대국민 사과와 함께 모든 고객에게 유심(USIM)을 무상 교체하겠다고 밝혔다. 자체적으로 사고를 인지한 후 일주일 만이다. 다만 해킹 피해를 법정 시한을 넘겨 보고했다는 지적에 대해서는 신고 지연은 인정했지만 고의적 의도는 없었다고 해명했다.
이번 사태를 계기로 SK텔레콤의 정보보호 조직 체계 강화 필요성도 제기된다. 2300만이 넘는 가입자를 보유했음에도 정보보호에 대한 책임과 권한이 집중되는 C레벨 경영진이 부재한데다 담당 조직도 실급에 그치는 만큼 보고 및 대응 체계가 늦어질 수밖에 없다는 지적이다.
유영상 대표는 미디어 설명회를 열어 “고객과 사회에 큰 불편과 심려를 끼쳐 드린 점 진심으로 사과드린다”며 고개를 숙였다. 오는 28일부터는 고객 불안 최소화를 위해 모든 가입자 대상으로 유심 카드를 무료 교체하는 추가 조치도 시행한다. 유심 무상교체에는 수백억원의 비용이 들어갈 전망이다.
유 대표는 “고객의 걱정과 우려가 해소될 때까지 이중삼중 안전 장치를 지속 마련하겠다”며 “회사가 보유한 모든 서버와 시스템의 보안 상태를 점검하고 회사의 모든 역량을 집중하겠다”고 강조했다.
SK텔레콤은 이번 유심 정보 유출 사고와 관련해 전수조사 결과 2차 피해는 확인되지 않았다고 밝혔다. 구체적 사고 원인과 피해 규모에 대해서는 이날 발족한 민관합동조사단 조사 결과가 나오는대로 공개하겠다고 약속했다.
SK텔레콤은 이번 사태를 대응하는 과정에서 24시간 내 신고를 규정한 정보통신망법을 위반했다. SK텔레콤이 한국인터넷진흥원(KISA)에 보고한 시점은 20일 오후 4시46분으로 해킹 공격을 인지한 18일 오후 11시20분을 기준으로 만 하루를 넘겼다.
회사 측은 “사안의 중대성을 고려해 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하려다 신고가 늦어졌다”고 해명했다. 보안 사고 관련 내부 보고·대응 체계에 허점이 있던 셈이다.
일각에선 경쟁사와 비교해 SK텔레콤의 정보보호 조직의 역할과 권한이 약하다는 지적도 나온다. 현재 SK텔레콤의 고객 정보보호 담당 조직은 정보보호실이다. AT·DT센터 산하에 있는 5개실 중 하나다. 정보보호실장이 정보보호최고책임자(CISO)를 맡고 있지만 C레벨 경영진은 아니다. 네트워크인프라 센터장이 겸직하는 안전보건최고경영책임자(CSPO)도 공식 C레벨은 아니다.
반면 LG유플러스는 C레벨 경영 임원인 정보보안센터장이 CISO·CPO 역할을 맡고 있다. 정보보안센터는 CEO와 별도 조직으로 편제돼 고객 정보보호 관련 업무와 책임을 전담한다. KT 역시 C레벨 경영진인 최고정보책임자(CIO)를 중심으로 산하에 CISO·CPO를 뒀다.
SK텔레콤도 정보 유출 사고 발생시 빠른 대응 체계 마련을 위한 조직개편 필요성이 제기되고 있다. 실급 조직을 센터급으로 격상하고 전사 차원의 정보보호 리스크 관리를 총괄할 C레벨 경영진을 책임자로 선임하는 등의 후속 강화 조치가 요구된다.
SK텔레콤 관계자는 “당장은 고객 불안감을 해소하는데 전사 역량을 집중할 방침”이라며 “정보보호 관련 조직 강화 필요성에 대해서는 추후 논의가 있을 것”이라고 말했다.
한편 한덕수 대통령 권한대행 국무총리도 이날 긴급 지시를 통해 “ 관계부처는 유심 보호 서비스 가입·유심 교체 조치의 적정성을 면밀히 점검하고 국민 불편 해소에 전력해달라”고 지시했다.
한 권한대행은 “현재 진행중인 사고원인을 철저히 분석하고 투명하게 국민들에게 알리는 한편 국가정보원 등 관계부처는 날로 증대되는 사이버 공격에 대비한 현 정보보호 체계를 철저히 점검하고 개선하라”고 주문했다.
박준호 기자 junho@etnews.com
![유심 무료 교체만으론 부족…SK텔레콤, 주가 5.5만으로 추락[이런국장 저런주식]](https://newsimg.sedaily.com/2025/04/28/2GRP45W06P_3.jpg)
![SKT 해킹 틈탄 '유심 교체' 피싱·스미싱 기승 [디지털포스트 모닝픽]](https://www.ilovepc.co.kr/news/photo/202504/54153_147549_5652.jpeg)
