‘대규모 해킹’ SKT, 알고도 24시간 내 신고 규정 위반

SK텔레콤 (매경 DB)

규정에 따르면 정보통신서비스 제공자는 사고를 인지한 지 24시간 내로 당국에 알려야 한다.

SKT텔레콤은 해당 규정을 위반한 것으로 밝혀졌다.

24일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 SK텔레콤으로부터 제출받은 자료에 따르면 SK텔레콤은 지난 4월 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다.

또 이날 오후 11시 20분 악성코드를 발견, 해킹 공격을 받았다는 사실을 확인했다.

SK텔레콤은 19일 오전 1시 40분 어떤 데이터가 유출됐는지 분석을 시작했다.

이후 22시간 뒤인 4월 19일 오후 11시 40분 악성 코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.

그러나 SK텔레콤은 다음날인 4월 20일 오후 4시 46분 한국인터넷진흥원(KISA)에 신고했다.

최초 정황을 발견한 지 45시간 만이다.

악성코드를 발견한 18일 오후 11시 20분을 기준으로 해도 만 하루를 넘긴 시점이다.

정보통신망법에 따르면 정보통신서비스 제공자는 침해 사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시·원인·피해 내용 등을 과학기술정보통신부 장관이나 KISA에 신고해야 한다.

그러나 SK텔레콤이 KISA에 보고한 시점은 20일 오후 4시 46분이었다.

KISA는 최 의원실에 SK텔레콤이 24시간 내 보고 규정을 위반했다고 밝혔다.

이에 SK텔레콤은 “사안의 중대성을 고려해 사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것이며 고의적인 의도는 없었다”고 해명했다.

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]