SK텔레콤 T타워./연합뉴스

SK텔레콤이 최근 가입자들의 유심 정보 유출에 대응하는 과정에서 법정 시한을 넘겨 해킹 피해 신고를 했던 것으로 확인됐다. 지난 18일 오후 해킹 사실을 알고도, 20일 오후가 돼서야 한국인터넷진흥원(KISA)에 신고한 것이다. 현행 정보통신망법에는 해킹 사실을 처음 인지한 지 24시간 이내에 과학기술정보통신부나 KISA에 신고하도록 돼 있다.

24일 국회 과방위 소속 최수진 의원(국민의힘)이 SK텔레콤에서 제출받은 자료에 따르면, 이 회사는 지난 18일 오후 6시 9분 사내 시스템에 이상을 처음 감지한 뒤 같은 날 오후 11시 20분쯤 서버에 악성코드가 설치된 사실을 파악했다. 이상을 처음 감지한 시점을 기준으로 24시간 뒤인 19일 오후 6시 9분 이전에 신고했어야 하지만 SK텔레콤은 시한을 약 22시간 넘긴 20일 오후 4시 46분에 해킹 사실을 KISA에 알렸다. 첫 해킹 인지 시점을 악성코드 발견 때로 하더라도 SK텔레콤은 신고 시한을 17시간 정도 넘긴 것이다.

SK텔레콤은 정보통신망법 위반 사실을 인정하면서도 “사안의 중대성을 고려해 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하려다 신고가 늦어졌다. 다른 의도는 없다”고 해명했다. 이번에 SK텔레콤은 해킹 신고해야 하는 KISA에는 법정 시한을 넘겼지만, 개인정보 유출을 신고해야 하는 개인정보보호위원회에는 법정 시한(22일 오후 11시)보다 약 13시간 빨리 피해 사실을 알렸다. 하지만 SK텔레콤의 해킹 신고가 늦어진 사실이 전해지면서 “법으로 신고 시한을 ‘24시간 이내’로 규정한 것은 다 이유가 있을 텐데, 이를 왜 어기냐” “해킹 신고가 늦어져서 정부의 대응이 늦어진 것 아니냐” 등과 같은 반응이 온라인 커뮤니티를 중심으로 나오기도 했다.

한편, SK텔레콤의 개인정보 유출 건 조사를 총괄하는 고학수 개인정보보호위원장은 이날 “개인정보가 유출됐다고 당연히 처분하는 게 아니라 안전 조치를 제대로 했는지 여부를 확인해 처분을 내리게 될 것”이라며 “SK텔레콤의 이용자(2300만명)가 워낙 많아서 (이 사건을) 꼼꼼히 보겠다”고 했다.