개인정보위원회에서 SKT에 1348억원대의 과징금을 부과하면서, 추가 해킹 기록을 발표했다. 이번에는 약 9년 전인 2016년 10월 경에 있었던 해킹이다.
개인정보위와 한국인터넷진흥원(KISA)이 조사하고 8월 28일 발표한 내용에 따르면, △ SKT는 2016년 11월 자사의 홈가입자서버(HSS)에 OS(리눅스, Linux)를 새로 설치했는데, △ 당시 설치된 OS는 바로 전 달인 2016년 10월에 이미 ‘더티카우’(DirtyCow, 관리자 권한 없는 자가 임의로 관리자 권한을 탈취)라는 보안 취약점이 알려진 상황이었음에도 불구하고 △ SKT는 OS 설치를 강행하였고, 공개된 보안 패치와 상용 백신도 무시한 채 2025년 4월까지 아무런 보안 조치 없이 문제의 OS를 계속 사용해온 것으로 밝혀졌다.
주목할 점은 문제의 OS가 홈가입자서버(HSS)에 설치된 시점이 2016년 11월이라는 사실이다. SKT가 소위 '최순실 태블릿'의 ‘신규계약서’를 위조하고, 이 위조된 계약서를 다시 SKT 서버에 업로드한 시점은 2016년 10월 29일~31일경으로 추정되고 있다. 따라서 SKT가 비정상적인 방법으로 ‘위조된 계약서’를 서버에 업로드한 범죄를 감추기 위해 그 직후인 2016년 11월에 해당 서버에서 기술적인 은폐 작업들을 진행했고, 그 중 하나가 홈가입자서버(HSS)에 OS를 새로 설치한 것이라는 해석이 가능하다.
해당 태블릿 계약서는 서부지법에서 계약서 작성자인 김성태가 “김한수는 계약현장에 있지 않았다”고 증언하여, 김한수의 필적과 사인으로 작성된 1쪽과 3쪽 모두 사후 위조된 것으로 확정되었다. 하필이면 이 위조된 계약서가 SKT 고객서버에 불법적으로 입력된 2016년 10월 경에 SKT는 손쉽게 고객서버의 관리자 권한을 탈취할 수 있는 OS를 설치한 셈이다.
과기정통부가 7월 4일 발표한 ‘SK텔레콤 침해사고 최종 조사결과 발표’ 내용에 따르면, 2022년 1월 11일에 변희재 대표가 SKT를 상대로 계약서 위조 혐의로 2억원대 손배소송을 제기한 후 그룹 총수 최태원이 2월 21일 SKT 회장으로 취임했고, 2월 22일과 23일에 비정상적인 재부팅이 발생하여 각종 악성코드들을 확인했으나 SKT 측은 당국에 신고하지 않은 것으로 확인됐다.
그리고 3월 18일, SKT는 김한수의 필적으로 위조된 청소년샘플계약서를 고객서버로부터 출력하여 서울중앙지법 민사합의25부에 제출했다. 첫 공판일이었던 7월 22일 이전인 6월 15일과 22일에도 고객관리망의 서버에 접속한 기록들이 발견되었다.
즉 2021년 8월부터 2022년 6월경까지, 계약서 등 고객정보 서버에 수시로 해킹이 시도되었음에도 SKT는 당국에 신고하지 않았고, 심지어 아이디와 비밀번호를 탈취해 해킹이 시도되었음에도 비밀번호조차 장기간 바꾸지 않았다는 것이다.
과기정통부와 개인정보위 등은 하필이면 SKT가 태블릿 신규계약서를 위조하여 고객서버에서 불법 입력한 시점인 2016년 10월 경, 그리고 재판에서 추가로 샘플계약서를 위조한 시점인 2022년 3월 경에 SKT의 해킹 연관 기록이 있음을 발견한 셈이다.
일찌감치 200여명의 미딩워치 독자들과 함께 개인정보위에 고객정보 유출 피해보상 조정신청을 한 변희재 대표는 이제일, 장달영 변호사 등과 상의, “개인정보위 고학수 위원장에게 이 사실을 공문을 전달, 즉각 SKT의 두 차례 계약서 위조 건과 해킹 기록의 연관성을 조사할 계획”이라 설명했다.
