“SKT, 침해사고 미신고 적발”…과기정통부, 과태료 부과 예고에 업계 긴장

SK텔레콤의 해킹 사고 은폐 및 지연 신고 행위가 정부 민관합동 조사에서 공식 확인되며, 정보통신 보안 관리체계 강화 요구가 거세지고 있다. 과학기술정보통신부는 4일 SK텔레콤 해킹 사태 민관합동조사단 결과를 토대로, 정보통신망법 위반에 대한 과태료 부과를 사전 예고했다고 밝혔다. 정보통신망법은 정보통신서비스 제공자가 해킹 등 침해사고를 인지한 즉시 정부 또는 한국인터넷진흥원(KISA)에 신고하도록 명확히 규정돼 있다. 업계는 이번 발표를 ‘주요 통신사업자 보안·보고 의무 강화의 분기점’으로 해석하고 있다.

조사에 따르면, SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅 현상을 감지해 점검에 나섰고, 이 과정에서 악성코드에 감염된 서버가 발견됐다. 그러나 법적 신고 의무에도 불구하고 정부 기관 신고를 이행하지 않았다. 또한, 2024년 4월에도 침해사고 인지 뒤 24시간 내 신고 규정을 어기는 등 중복 위반이 보고됐다. 타이니셸을 포함한 복수의 악성코드 감염 사실 역시 누락된 것으로 파악됐다.

현행 정보통신망법상 해킹 및 정보유출 등 침해사고 발생 시 ‘즉시 신고’ 및 ‘24시간 내 후속 보고’가 필수적이다. 이번 사안처럼 의무 위반이 드러날 경우 과태료 처분과 함께 행정적 제재가 동반된다. 관련 기관은 침해사고 은폐·지연 신고 반복에 대해 법정 책임과 통신 인프라 전체의 신뢰도 저하 우려를 동시에 제기한다.

글로벌 주요국 통신법과 비교할 때, 한국의 정보보호 규제도 최근 실효성 논란이 불거진 상태다. 미국은 연방통신위원회(FCC)의 엄격한 침해사고 보고 체계를 운영하며, 유럽연합(EU)에서는 GDPR 등 개인정보 유출 시 신속 통보 의무가 부과된다.

업계 전문가는 “이번 사태는 소프트웨어 및 네트워크 전 계층에 걸쳐 실시간 보안감시 강화가 필요함을 방증한다”며, “통신사업자의 책임이 명확히 선 그 위에 산업 신뢰가 구축될 수 있다”고 진단했다. 산업계는 해당 제재가 실제 재발 방지 수준의 보안관리 체계 개편으로 이어질지 주목하고 있다.