SK텔레콤이 해킹 공격을 받은 사실을 법정 시한을 넘겨 신고한 사실이 알려진 가운데, 한국인터넷진흥원(KISA)이 SKT 측 ‘해킹 인지 시간’을 석연찮게 수정한 것으로 나타나 논란이다.
27일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)은 KISA 측에서 ‘SKT 인터넷 해킹 사건 경과 설명자료’를 제출받았다.
KISA의 자료에 따르면 SKT가 해킹을 인지한 시점은 20일 15시 30분이다. 1시간 16분 뒤에는 인터넷 해킹사건 관련 침해사고 신고서를 KISA에 제출했다.
다만 최 의원실에 따르면 SKT가 실제 해킹을 인지한 시점은 이보다 이틀여 앞선 18일이다. 또 이날 악성코드를 발견해 해킹 공격을 받았다는 사실도 내부에 공유했다. ‘정보통신망법’상 침해 사고 인지 후 24시간 이내에 신고해야 하는 규정을 어긴 것이다.
KISA는 SKT가 실제 해킹 사실을 인지한 시점보다 40시간 지난 시점으로 기록했다. KISA의 기록대로라면 SKT 측은 해킹 인지 후 1시간 16분만에 신고한 것이기에 늦장 신고를 한 것도 아니며, 최대 3천만 원의 과태료를 낼 의무도 없게 된다. 이 탓에 KISA 측이 ‘SKT 봐주기’를 한게 아니냐는 의혹이 제기되고 있다.
아울러 SK텔레콤 측이 20일 신고서 접수 당시, 해킹인지 시점을 18일 오후 11시 20분으로 제출하려고 했지만 KISA 측이 오히려 20일 15시 30분으로 신고하도록 안내한 것으로 알려져 논란이 커졌다.
KISA는 "침해사고 신고 접수 후, 인터뷰 과정에서 인지시간에 대한 설명 후 SKT에서 인지시간을 변경했다"고 설명했으나, SKT 측은 "인지 시점을 변경한 적이 없다"고 반박했다.
아울러 KISA는 "신고 과정에서 회사 보안 책임자가 ‘신고를 결정한 시점’을 사고 인지 시점으로 정정했다"며 "미스커뮤니케이션이 있었다"고 해명했다.
이와 관련 최수진 의원은 "SK텔레콤이 18일 밤 해킹을 인지하고 내부 공유까지 한 것이 명백한 데도 책임자가 신고를 결정한 시점이 사고 시점이라며 고쳐준 것은 납득하기 어렵다"며 "SK텔레콤이 규정상 24시간 이내 신고 의무를 위반한 것을 KISA가 무마하려 한 것 아니냐"고 지적했다.
아울러 SKT의 신고 이후 KISA의 대응 역시 도마에 올랐다. 자료 보전 요청 공문은 신고 접수 후 21시간이 지나 발송됐고, 전문가 파견도 28시간이 지난 뒤에야 이뤄졌다. 더구나 현장 조사는 실제 해킹이 발생한 분당 데이터센터가 아닌, 서울 중구 SK텔레콤 본사에서 진행됐다.
KISA는 "원격으로도 상황 파악이 가능했기 때문"이라고 해명했지만, 일각에선 "사건의 심각성에 비해 지나치게 더딘 대응"이라고 지적했다.
최 의원은 "가입자 2천300만명이 ‘디지털 신분증’ 역할을 하는 유심 정보 유출로 불안해하는 초유의 사건에 대한 당국의 대응으로 신속하고 적절했다고 보기 어렵다"고 짚었다.
한편 과학기술정보통신부 관계자는 "민관 합동조사단이 사건 인지 시점 기록이 바뀐 부분이나 초기 대응이 적절했는지 여부 등을 포함해 정확한 현황을 조사하고 있다"고 최 의원실에 밝혔다.
/임지섭 기자 ljs@namdonews.com