SK텔레콤이 최근 해킹 공격을 받은 사실을 법정 신고 시한을 넘겨 보고한 데 이어, 해킹 인지 시점을 허위로 기재해 제출한 정황이 드러나 논란이 일고 있다.

국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, SK텔레콤은 4월 20일 오후 4시 46분에 해킹 침해사고 신고서를 접수했다. 그러나 신고서에는 해킹 인지 시점이 같은 날 오후 3시 30분으로 기재돼 있었다.

하지만 실제로는 사건 발생 시점이 훨씬 앞서 있었다. SK텔레콤은 4월 18일 오후 6시 9분께 사내 시스템 데이터가 비정상적으로 움직인 사실을 처음 포착했고, 같은 날 오후 11시 20분에는 악성코드를 발견해 해킹 사실을 내부에 공유한 것으로 확인됐다. 이후 19일 새벽 1시 40분부터는 데이터 유출 여부를 분석하기 시작했다.

정보통신망법상 정보통신서비스 제공자는 침해사고를 인지한 때로부터 24시간 이내에 사고 발생 사실을 신고해야 한다. 18일 오후 11시 20분 해킹 사실을 인지했음에도 20일 오후에야 신고를 접수한 SK텔레콤은 사실상 법을 위반한 셈이다. 위반 시 과태료 3000만원이 부과될 수 있다.

그러나 SK텔레콤이 제출한 신고서에는 해킹 인지 시점을 20일 오후 3시 30분으로 기재, 마치 신고 접수까지 1시간여밖에 걸리지 않은 것처럼 되어 있었다. 이에 따라 과태료 처분을 피한 셈이다.

이 과정에서 KISA가 오히려 SK텔레콤 측에 해킹 인지 시점을 20일 오후 3시 30분으로 수정해 제출할 것을 안내한 사실도 드러났다. KISA는 “사고 조사 후 명확히 침해사고로 판단하고 내부 보고한 시점을 사고 인지 시점으로 본다”며 해명했지만, SK텔레콤이 18일 밤 이미 내부 공유를 한 사실이 확인되면서 논란은 쉽게 가라앉지 않고 있다.

KISA 측은 "신고 접수 과정에서 미스 커뮤니케이션이 있었다"고 설명했다. 그러나 최수진 의원은 “해킹 사실을 18일 밤에 인지하고도 책임자가 신고 결정을 한 시간이 사고 인지 시점이라는 해명은 납득하기 어렵다”며, “KISA가 알아서 무마해주려 한 것은 아닌지 의심스럽다”고 지적했다.

당국의 늦장 대응도 도마에 올랐다. 과학기술정보통신부와 KISA가 SK텔레콤에 자료 제출을 요청한 것은 신고 접수 21시간 후인 21일 오후 2시 6분이었다. 전문가 파견은 그로부터 또 6시간이 지난 오후 8시에야 이뤄졌다. 그마저도 해킹이 발생한 서버가 있는 분당센터가 아닌, 서울 중구 본사로 파견된 것으로 전해졌다.

최 의원은 "2300만 가입자의 유심(USIM) 정보가 유출된 초유의 사태에 대한 당국 대응이 신속하고 적절했다고 보기 어렵다"고 비판했다.

과학기술정보통신부 관계자는 “민관 합동조사단이 사건 인지 시점 변경, 초기 대응의 적절성 등을 포함해 조사를 진행 중”이라며 "사실관계를 면밀히 확인하고 있다"고 밝혔다.