SK텔레콤이 지난 18일 해킹 사고와 관련 홈페이지를 통해 공식 사과했지만 가입자식별모듈(USIM, 유심) 정보 유출 사태 관련 해킹 공격 보고 규정을 위반한 사실이 뒤늦게 드러났다.

24일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 SK텔레콤으로부터 제출받은 자료에 따르면 이 회사는 지난 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다.

SK텔레콤은 어떤 종류의 데이터가 빠져나갔는지 분석 끝에 22시간 만인 같은 날 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.

하지만 SK텔레콤은 20일 16시46분 KISA에 신고했다. 처음 발표대로면 24시간 안이지만 새로 파악한 시점을 적용하면 최초 인지 시점에서 46시간37분이 경과했다.

정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 한국인터넷진흥원(KISA)에 신고해야 한다고 규정하고 있다.

이에 대해 SK텔레콤은 "사안의 중대성을 고려해 사이버 침해 사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것이며 고의적인 지연 의도는 없었다"고 해명했다.

국회 과학기술정보방송통신위원회 위원장 최민희 의원(더불어민주당·경기 남양주갑)이 SK텔레콤으로부터 제출받은 자료에 따르면, 해킹사고 발표 직전 5만명에 불과했던 유심보호서비스 가입자 수가 21일 29만명, 22일 21.6만명, 23일 101만명, 24일 83만명으로, 누적 240만명에 달해 불과 나흘 만에 기존 대비 48배 급증했다.

최민희 의원 "SK텔레콤은 유출된 유심정보의 규모조차 제대로 파악되지 않고 있고, 유심복제에 따른 2차 피해 위험이 매우 높은 상황임에도 실질적인 대책을 내놓지 못하고 있다"며,  “SK텔레콤은 더 이상 미루지 말고 전 가입자 유심 무상 교체 등 실질적 안전대책을 즉각 시행하라”고 강조했다.