[일문일답] SKT "해지 결정엔 열흘이면 충분…보안에 강한 1등 회사 되겠다"

[뉴스웍스=박광하 기자] 유영상 SK텔레콤 대표가 4일 기자간담회를 열고 SK텔레콤의 보안 취약점으로 내부 시스템 해킹과 고객 유심(USIM) 정보 유출이 발생한 데 대해 사죄했다. 위약금 면제와 고객 보상 조치 등으로 단기 실적에 부정적인 영향이 불가피하지만, 이런 조치가 장기적 관점에서 고객의 신뢰를 회복하는 데 도움이 될 것이라고 판단했다. 통화 상세 기록(CDR) 암호화 관련 정부 조사 결과와의 차이점, 보안 인력 확충 방안, 대리점 지원 계획 등에 대해서도 입장을 내놨다,

다음은 이날 기자간담회의 주요 질의응답

-정보보호 투자와 고객 통화료 감면 등 총 1조2000억원 규모의 재원 투입이 이뤄질 것으로 보이는데, 실적에 미칠 영향이 무엇이고 향후 전략은 어떤가.

"고객 감사 패키지로 제공하는 5000억원은 회사 입장에서는 매출이 그만큼 감소하는 것이다. 5년 동안 7000억원의 정보보호 투자는 현재보다 훨씬 높은 규모 투자다. 따라서 회사 실적에 영향이 있을 것이라 생각한다. 이번 해킹 사태 이후 SK텔레콤은 장기적으로 보안이 강한 회사, 고객 신뢰를 받는 회사가 되는 것이 중요하다고 본다. 장기적으로 보안에 강하고 고객 신뢰를 받는 1위 회사가 된다면 궁극적으로는 회복이 가능할 것이라 생각한다."

-이전에 CDR 값을 암호화해 보관한다고 답변한 적 있는데, 이번 정부 조사 결과와 상반되는 부분이 있다.

"CDR 암호화 관련해 2차 조사 발표 당시 CDR 데이터는 마스킹 처리 등을 통해 2차적으로 보호되고 있었기에 대중과의 소통을 위해 '암호화'라는 표현을 사용했다. CDR 데이터를 임시적으로 활용하는 상당수 데이터는 현재 마스킹 처리돼 있다. 오늘 (민관합동조사단 조사 결과) CDR이 평문으로 저장돼 있다고 발표된 것은 대부분 데이터가 마스킹 처리돼 있지만 그중 한 개가 평문으로 저장돼 있어 합조단 발표 내용에 포함된 것이다. 앞으로 CDR까지 보안 수준을 높여 암호화를 적용하도록 이번 정보보호 혁신안에 포함시켰다."

-위약금 면제 결정으로 지불해야 할 금액은 얼마로 예상하는가.

"위약금 면제는 회사 입장에서는 매우 큰 결정이며, 큰 손실이 예상된다. 그럼에도 불구하고 여러 이사회에서 종합적인 정부 발표 결과, 내·외부 법률적 의견, 고객과 시장에 미치는 영향, 고객 신뢰를 포함한 장기적인 관점에서 기업 가치에 미치는 영향을 종합적으로 고려해 (위약금 면제를) 시행하기로 결정했다."

-위약금 면제와 보상안, 정보보호 투자 등으로 인해 올해 영업이익이 전년 대비 감소할 것으로 예상되는데.

"영업이익 감소는 확정된 수치도 있지만 위약금이나 고객들의 반응 등 알 수 없는 부분들이 있기 때문에 정확한 수치를 말씀드리기는 어렵다. 하지만 오늘 공시를 할 정도로 상당히 중대한 매출 감소 사항이다. 유선 서비스는 이번 해킹 사고와 무관하므로 이에 대한 위약금은 환급 대상에서 제외된다."

-위약금 해지 면제 시점을 14일까지로 설정한 배경은 무엇인가.

"위약금 면제 기간을 언제까지 할지에 대한 고민이 많았다. 사태 이후 해지를 원한 많은 고객이 지난 두 달 내에 많이 떠났다고 본다. 그분들은 소급해서 환급해 드리고 있다. 유심 보호나 유심 교체 등 불안의 요인이었던 부분들도 대부분 진행됐다고 생각하기에 사실상 지금 시점에서 추가 위약금 면제 요인은 없다고 판단하지만, 그동안 위약금 환급을 받고 싶었으나 그러지 못했던 고객이 있을 수 있어 추가로 연장했다. 7월 14일로 정한 것은 지금부터 약 10일 정도 더 연장해 운영하면 원하는 고객은 충분히 떠날 수 있는 시간이라 판단했기 때문이다."

-보안 전문 인력 충원은 어떻게 돼 가고 있나.

"보안 전문 인력 관련해서는 아웃소싱 인력이 많았던 게 사실이다. 이번 해킹 사태를 겪으면서 내부 (보안 전문) 인력을 증원해야겠다는 내부 판단도 있었고, 합조단 발표도 있었다. 아웃소싱 비중이 높다고 해서 장단점을 따지기는 어렵지만, 내부 인력을 더 전문화하는 육성을 할 계획이다. 기존 회사 내에서의 내부 인력 전환 배치, 글로벌 톱 인재 영입, 산업 연계를 통한 역량 강화 등 여러 방법을 통해 현재 수준의 약 2배인 150명 수준까지 보안 인력을 확충할 계획이다. 신임 CISO로 이종현 박사가 1일자로 영입됐다. 이러한 인력 확충 프로세스가 현재 진행 중이다."

-6월 30일 이전에 이탈한 고객의 위약금 환급 비용 인식 시점은 2분기로 되는가, 3분기로 되는가.

"이 부분에 대해 정확하게 답변하기는 어렵다. 발생주의로 생각하면 2분기가 돼야 할 것 같지만, 오늘 결정됐기에 회계 쪽에서 검토 중이다. 기회가 되면 다른 자리에서 말씀드리는 것이 좋을 것 같다."

-위약금 면제 결정을 전격적으로 속도감 있게 내린 배경은 무엇인가.

"과기정통부 발표가 있을 것이라고 예상해 여러 가지 상황과 옵션을 두고 이사회를 하면서 토론을 진행하고 있었다. 오늘 발표가 나고 나서 긴급 이사회를 열었으며, 그 긴급 이사회에서 격론 끝에 위약금 면제를 수용하기로 결정했다. 오래전부터 준비해왔던 것은 아니며, 당초 위약금 면제는 불가하다는 입장이었다. 그러나 정부 발표와 최근 고객 관련 상황, 시행 관련 상황 등을 보면서 이것이 경영 판단의 원칙상 회사 이익이나 주주 이익에 부합한다고 생각했다."

-최근 상법 개정과 이번 사태에 대한 의견은.

"상법 개정안 관련해서는 제가 전문가는 아니지만 회사의 이익, 주주의 이익, 고객의 이익에 대한 균형 있는 결정들을 해야 한다고 생각한다. 현재 SK텔레콤의 상황에서 위약금이든, 보상안이든, 정보보호 투자든 이런 것들을 하지 않으면 단기적으로는 실적이 좋아질 것이다. 하지만 고객들이 SK텔레콤을 신뢰하지 않는다면 고객들이 떠날 것이고, 그렇게 되면 실적과 기업 가치는 악화될 것이다. 따라서 이사회에서는 오늘의 이런 (위약금 면제) 결정이 중장기적으로 주주와 회사를 위한 이익이라고 판단했다."

-지난 2022년 해킹을 파악했었는데 그때 은폐를 한 이유를 설명해달라.

"오늘 민관합동조사단 발표 내용에 대해서는 저희가 진정으로 잘못했다고 반성한다. 2022년 사태는 현재 긴급히 사실관계 등 내부 조사를 진행하고 있다. 현재까지 파악한 바로는 2022년 악성코드 발견 당시 담당 부서가 내부 업무 처리 관행에 따라 망 장애가 생기지 않도록 긴급 대응했다. 추측하기로는 당시 담당자가 법적 신고 대상인지 여부를 미처 생각하지 못한 것으로 보인다. 이러한 경위로 인해 부끄럽지만 저를 포함한 경영진에게는 보고가 이뤄지지 않았던 것이다. 이 부분이 매우 송구스러우며, 신고 관련 교육이나 대응 매뉴얼 등을 강화하고 재발 방지 대책을 마련하겠다.

합조단 조사 결과를 통해 확인한 바로는 공급망 보안 관련해서 발견된 악성코드가 디도스(DDoS) 악성코드였다. 이 악성코드는 실제 공급망 보안이 미흡했던 부분을 통해 들어온 것은 맞지만, 실제 활성화되거나 내부에서 움직인 증적은 찾지 못했다. 따라서 이번 전체 해킹 사고와는 관련이 없는 것으로 합조단에서도 발표했고 저희도 그렇게 이해하고 있다. 공급망 보안이 상당히 중요하며 잘 지켜야 할 부분인데, 이번 사고를 계기로 저희가 분명히 프로세스는 있지만 이 프로세스에 무엇이 잘못됐는지 다시 한번 짚어보고 있다. 정보보호 혁신안에도 전반적인 프로세스나 이런 문제에 대한 개선안이 담겨 있다. 이를 통해 공급망 보안을 더 철저히 하고 재발 방지에 심혈을 기울이겠다."

-50기가바이트(GB) 데이터 혜택은 무제한 데이터 이용자에게는 큰 의미가 없어 보인다.

"고객 감사 패키지를 고민할 때 어떤 것이 공정한지, 고객 차별이 아닌지 많은 고민을 했다. 요금 할인과 50GB를 함께 제공한 이유는, 무제한 요금제 이용 고객 대부분의 요금이 높기 때문이다. 그러다 보니 할인율이 같더라도 할인액은 높다. 그해서 요금이 적은 분들은 왜 할인 금액이 적냐고 할 수 있다. 요금이 낮은 고객들은 무제한이 아니기에 50GB가 매우 큰 가치가 있다. 따라서 요금이 낮은 분들은 50% 할인 금액이 작지만 50GB의 가치가 높고, 요금이 높은 분들은 요금 할인 금액이 크지만 무제한이기에 50GB의 가치가 상대적으로 낮다. 전체적으로 보면 형평성이 맞다고 이해해달라."

-위약금 면제와 고객 감사 패키지로 인해 매출과 영업이익이 모두 감소하면서, 지난해부터 준비했던 인공지능(AI) 컴퍼니 전환이나 AI 투자가 줄어들지 않을까.

"사실 뼈아프다. SK텔레콤이 가장 선두적으로 AI 피라미드 전략을 통해 인프라부터 AI 전환, 모델, 에이닷(A.)과 같은 서비스, 글로벌 진출까지 많은 자원을 투입하고 준비하던 와중에 이번 사태가 터졌다. 그러면서 매출과 이익이 급감해 AI 투자에 있어서도 일정 정도의 선택과 집중이 불가피한 상황이다. 그럼에도 불구하고 SK텔레콤의 미래는 AI에 있다고 생각하기에 선택과 집중을 통해 진행할 예정이다. 특히 지난번 울산 AI 데이터 센터 같은 경우는 SK브로드밴드를 통한 투자이지만 범 SK텔레콤의 프로젝트다. 국내 최대·최고의 AI 데이터 센터를 구축하는 것으로, 전 세계 1위 클라우드 회사인 아마존웹서비스(AWS)가 수요를 보장하기 때문에 SK텔레콤 입장에서는 매우 좋은 투자로 진행했다. 이러한 모습들을 보여주면서 SK텔레콤이 AI 회사로, 통신과 AI를 모두 잘하는 회사로 보여지도록 노력하겠다."

-대리점 지원은 어떻게 되나.

"지난 5월 5일부터 6월 23일까지 약 50일간 전국 T월드 매장 2600곳에서 신규 영업 정지가 있었다. 정지기간 예상되는 판매량을 계산해 건당 평균 마진인 15만원을 계산, 일단 신규 영업 정지 기간의 손실분에 대해 지원하기로 결정했다. 유통망과의 여러 간담회를 통해 의견을 수렴했고, 유심 교체 등의 작업에 대한 추가 지원을 하기로 결정했다. 전체 규모는 신규 영업 정지 기간에 SK텔레콤이 지원하는 금액의 약 50% 수준을 책정해 대리점 규모별로 지원하도록 준비했다. 전체 지원 금액에 대해서는 대리점별로 연락해 모두 전달한 상황이다. 지급 시기는 이달 말 일괄 지급을 계획하고 있다."

-과기정통부가 4월 21일 정보 자료 보존 명령을 내렸는데, SK텔레콤이 서버 두 대를 포렌식(Forensic) 분석 불가능한 상태로 임의 조치했다. 당시 어떠한 판단으로 그렇게 했나.

"담당 부서에서 해당 서버가 감염된 사실을 발견했을 때, 자료 보존 명령이 해당 부서에 전달되지 않은 상태였다. 그 이전에 서버를 긴급 복구하면서 초기화하는 실수를 범했다. 고의적인 삭제 의도가 있었던 것은 아니고 담당자 입장에서는 자료 보존 명령을 받지 못했기에 그렇게 됐다. 해당 서버는 망 품질 분석에 필수적인 장비다. 자료 보존 명령 사실을 알지 못한 채 피해 확산 방지를 위해 서버를 초기화한 것으로 확인됐다. 이와 관련해 내부 자료를 모두 숨김없이 제출하는 등 조사에 임했다. 그럼에도 불구하고 이 부분은 명백히 저희의 잘못된 부분이다. 운영자가 전체적으로 이런 일이 발생했을 때 어떻게 해야 한다는 점에 대해 당시 사건 초기였기에 미진했던 부분도 있고 내부 프로세스 전파에도 미흡한 부분이 분명히 있었다. 이번 일을 계기로 리스크 관리 체계나 매뉴얼을 다시 보고 있다. 정보보호 체계 안에서 매뉴얼도 다시 보강하는 작업을 하고 있다. 여러 합조단을 통해 밝혀진 것이 많고 내부적으로도 보완하거나 개선해야 할 사항이 많기에, 이를 전반적으로 검토해 더 나은 보안이 강한 회사로 나아갈 수 있도록 하겠다."

-기존에 발표한 주주 환원 정책에 변동이 있을 것인가.

"이 부분에 대해서는 이사회에서 결정해야 할 사항이다. 여러 논의를 거쳐 이사회에서 결정하도록 하겠다."

-수년간 악성코드를 발견하지 못한 데 대해 어떻게 생각하나.

"2021년 이후 악성코드를 발견하지 못하고 지금까지 왔느냐는 부분에 대해서는 정말 면목없고 죄송하다. 경계망 중심의 보안 체계 탓이었다. 내부에 서버에 백신을 설치한다거나 하는 식의 보안 체계를 갖추지 않았기에 당시 들어왔던 악성코드에 대해 인지하는 것이 상당히 늦었다. 지금은 이번 정보 혁신 체계 안에서 제로 트러스트(Zero Trust) 기반으로 침투 경계망 쪽의 침투 대응을 보완할 것이다. 이를 통해 횡적 이동을 방어하고, 데이터 유출 가능성에 대비해 암호화도 상당히 보완할 것이다."