 ▲ 29일 서울 시내 한 SK텔레콤 매장 모습. 과학기술정보통신부는 오는 30일 SK텔레콤 유심 해킹 사고 관련 민관합동조사단의 조사 결과를 국회 SKT TF(태스크포스) 팀에 보고하고 발표할 예정이다. 2025.06.29. © 뉴시스 |
브레이크뉴스 정민우 기자= SK텔레콤이 해킹 사고와 관련, 계약을 해지한 가입자들의 위약금을 회사가 면제해줘야 한다는 공식판단이 나왔다.
과학기술정보통신부는 4일 진행한 민관합동조사단 결과 발표에서 "이번 침해 사고는 이용자의 위약금 면제에 해당하는 SK텔레콤의 귀책사유로 판단된다"고 밝혔다.
결과 발표에 따르면 SK텔레콤 서버는 2021년 8월 6일부터 악성 코드에 감염됐다. 총 28개 서버가 해킹 공격을 받아 33개 악성 코드가 심겼다. 이로 인해 가입자 유심 정보 25종이 유출됐다. 데이터량으로 보면 9.82GB에 해당한다.
SK텔레콤은 계정 관리에 부실했고, 과거 침해 사고 대응이 미흡했던 데다, 암호화 조치도 부족해 이번 일이 발생한 것으로 결론내렸다.
과기부는 SK텔레콤이 정보 보호 주의 의무를 다하지 않고, 관련 법령이 정한 기준도 준수하지 않아 이같은 과실이 발생했다고 판단했다.
과기부는 특히 SK텔레콤이 단순히 통신 연결만 제공하는 것이 아닌 '안전한 통신 서비스를 제공하는 것'을 의미한다고 해석하면서, 귀책 사유가 사업자에게 있기 때문에 이용자의 위약금을 면제해줘야 한다고 결론내렸다.
SK텔레콤 이용 약관 제43조를 통해 사업자 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.
이같은 판단은 5개 법무 법인에서 자문을 얻은 결과이기도 하다. 5곳 중 4곳의 법무 법인이 이번 침해 사고를 SK텔레콤의 과실로 판단했다. 유심정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반한 것으로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 한 곳은 현재 자료만으로는 판단이 어렵다며 판단을 유보했다.
다만 과기부는 위약금 면제에 대한 판단 결과는 이번 사건에만 해당된다면서, 모든 사이버 침해 사고가 약관 상 위약금 면제에 해당한다고 일반화하지 말아달라고 부연했다.
*아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.<*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.>
Ministry of Science and ICT: "SKT Hacking, Company's Fault... Penalty Waiver Must Be Exempted"
SK Telecom has officially ruled that the company must exempt subscribers who terminated their contracts due to the hacking incident.
On the 4th, the Ministry of Science and ICT announced in the results of the public-private joint investigation team that "This breach is judged to be SK Telecom's fault, which is subject to penalty waiver for users."
According to the results, SK Telecom's servers were infected with malware starting on August 6, 2021. A total of 28 servers were hacked and 33 malicious codes were planted. As a result, 25 types of subscriber SIM card information were leaked. In terms of data volume, this is equivalent to 9.82 GB.
SK Telecom concluded that this incident occurred due to poor account management, inadequate response to past breach incidents, and insufficient encryption measures.
The Ministry of Science and ICT concluded that this negligence occurred because SK Telecom did not fulfill its duty of care in protecting information and did not comply with the standards set forth in relevant laws.
The Ministry of Science and ICT concluded that SK Telecom should exempt users from penalties because the fault lies with the business operator, interpreting this as meaning that SK Telecom was not simply providing a communication connection, but rather ‘providing a safe communication service.’
Article 43 of SK Telecom’s Terms of Use stipulates that penalties are exempted if users cancel their services due to the fault of the business operator.
This judgment was also the result of consulting with five law firms. Four out of the five law firms judged this breach to be due to SK Telecom’s negligence. They suggested that the leak of SIM card information was a violation of the main obligation of the contract, which is to provide a safe communication service, and that penalties can be exempted. One firm reserved its judgment, saying that it was difficult to make a judgment based on the current data alone.
However, the Ministry of Science and ICT added that the decision on exemption of penalty applies only to this case, and asked that it not be generalized that all cyber-infringement incidents are subject to penalty exemption under the terms and conditions.
