[변희재 미디어워치 대표이사]
* 해당 글은 변희재 대표가 SKT 고객정보 유출 피해자 대표 자격으로, 개인정보보호위 고학수 위원장에게 보낸 공문 내용입니다.
고학수 개인정보보호위 위원장님, 최근 SKT에 1348억원대의 과징금을 부과하느라 노고가 많으셨습니다. SKT는 그 더러운 돈으로 판사, 검사, 경찰들까지 매수하는 판에, 개인정보보호위에도 이루 말할 수 없는 불법 로비를 시도하고 있을 것입니다. 그 와중에도 이 정도의 과징금을 부과했다는 것은 고학수 위위원장님의 강력한 용기와 의지 덕택일 것입니다.
다만 제가 지난 5월 22일에도 공문으로 보내드렸듯이, 이번 SKT의 고객정보 유출은 외부 해킹보다는 SKT 내부에서 상습적으로 고객정보 도용 및 위조범죄를 저지르다가 벌어졌을 공산이 큽니다. 그 부분을 조사하여 발표했다면 1348억의 과징금 정도가 아니라 SKT라는 국가 허가 이동통신사업 전체를 국가 및 사회에 반환하는 조치가 진행되어야 했을 겁니다.
그래서 저 역시 SKT 사용 고객으로서 이제일·장달영 변호사와 200여명의 피해자와 함께 개인정보 보호위에 분쟁조정 신청을 한 당사자 입장에서 공식적으로 제안을 드립니다.
SKT가 고객 계약서를 2차례나 위조한 사실은 100% 확정되었습니다. 2016년 10월 말 경 JTBC 태블릿 신규계약서 위조 건은 계약 당사자 김성태가 “김한수는 계약 현장에 없었다”고 증언하면서, 김한수의 서명과 사인으로 작성된 1쪽과 3쪽의 위조가 확정되었습니다.
또한 2022년 3월 18일 서울중앙지법 민사합의 25부에 제출한 윤홍X와 윤석X 명의의 청소년 샘플계약서 역시, 두 곳의 전문 감정기관의 필적 감정 결과 김한수의 필적과 사인으로 작성된 것으로 확인되면서 위조가 확정되었습니다. 더구나 과기정통부, 개인정보위 등에서 발표한 SKT의 해킹 기록은 두 차례의 계약서 위조 시점과 정확히 맞물립니다.
개인정보위와 한국인터넷진흥원(KISA)이 조사하고 8월 28일 발표한 내용에 따르면, △ SKT는 2016년 11월 자사의 홈가입자서버(HSS)에 OS(리눅스, Linux)를 새로 설치했는데, △ 당시 설치된 OS는 바로 전 달인 2016년 10월에 이미 ‘더티카우’(DirtyCow, 관리자 권한 없는 자가 임의로 관리자 권한을 탈취)라는 보안 취약점이 알려진 상황이었음에도 불구하고 △ SKT는 OS 설치를 강행하였고, △ 공개된 보안 패치와 상용 백신도 무시한 채 2025년 4월까지 아무런 보안 조치 없이 문제의 OS를 계속 사용해온 것으로 밝혀졌습니다.
주목할 점은 문제의 OS가 홈가입자서버(HSS)에 설치된 시점이 2016년 11월이라는 사실입니다. SKT가 소위 '최순실 태블릿'의 ‘신규계약서’를 위조하고, 이 위조된 계약서를 다시 SKT 서버에 업로드한 시점은 2016년 10월 29일~31일경으로 추정되고 있습니다. 따라서 SKT가 비정상적인 방법으로 ‘위조된 계약서’를 서버에 업로드한 범죄를 감추기 위해 그 직후인 2016년 11월에 해당 서버에서 기술적인 은폐 작업들을 진행했고, 그 중 하나가 홈가입자서버(HSS)에 OS를 새로 설치한 것이라는 해석이 가능합니다.
과기정통부가 지난 7월 4일 발표한 ‘SK텔레콤 침해사고 최종 조사결과 발표’ 내용에 따르면, 2022년 1월 11일에 변희재 대표가 SKT를 상대로 계약서 위조 혐의로 2억원대 손배소송을 제기한 후 그룹 총수 최태원이 2월 21일 SKT 회장으로 취임했고, 2월 22일과 23일에 비정상적인 재부팅이 발생하여 각종 악성코드들을 확인했으나 SKT 측은 당국에 신고하지 않은 것으로 확인됐습니다.
그리고 3월 18일, SKT는 김한수의 필적으로 위조된 청소년샘플계약서를 고객서버로부터 출력하여 서울중앙지법 민사합의25부에 제출했습니다. 첫 공판일이었던 7월 22일 이전인 6월 15일과 22일에도 고객관리망의 서버에 접속한 기록들이 발견되었습니다.
즉 2021년 8월부터 2022년 6월경까지, 계약서 등 고객정보 서버에 수시로 해킹이 시도되었음에도 SKT는 당국에 신고하지 않았고, 심지어 아이디와 비밀번호를 탈취해 해킹이 시도되었음에도 비밀번호조차 장기간 바꾸지 않았다는 것입니다.
과기정통부와 개인정보위 등은 하필이면 SKT가 태블릿 신규계약서를 위조하여 고객서버에서 불법 입력한 시점인 2016년 10월 경, 그리고 재판에서 추가로 샘플계약서를 위조한 시점인 2022년 2월 경에 SKT의 해킹 연관 기록이 있음을 발견한 셈입니다.
앞서 말씀드린 대로 SKT의 태블릿 계약서 위조는 확정되었습니다. 당황한 SKT는 재판에서 계속 말을 바꿔대고 있어, 최태원·유영상·박정호 등은 조만간 증거인멸 우려 등으로 구속될 것입니다.
그와 별개로 개인정보보호위에서 SKT 측이 계약서를 위조하여 불법적으로 고객서버에 입력했을 시점인 2016년 10월 및 2022년 2월 경에 해당 계약서가 입력된 과정을 포렌식 조사를 하여, 기존에 밝혀진 해킹 기록과의 연관성을 파악해야 할 것입니다.
만약 본인의 추정대로 SKT의 고객정보 유출 건이 외부 해킹이 아니라 SKT 스스로 고객정보를 도용·위조하다가 벌어진 일이라면, 피해자 고객들에 대한 손해배상 액수도 크게 상향될 것입니다. 고로 본인은 피해자로 이를 조사해 달라고 요청할 권리가 있습니다.
해당 계약서 위조 관련해서는 개인정보보호위 분쟁조정위원과 SKT 앞에서 딱 5분만에 입증해 드릴테니, 그 점은 염려하지 않으셔도 됩니다.
본인은 피해자 대표로 분쟁조정위에 참여할 테니, 그때 만나뵙겠습니다.
