유심 정보 해킹을 당한 SK텔레콤이 쉽게 탐지 가능한 악성코드 일종인 웹쉘을 서버 점검항목에 포함하지 않아 발견하지 못한 것으로 파악됐다. 이에 따라 기본적인 정보보호 활동이 미흡했다는 진단이 나왔다.

과학기술정보통신부는 4일 이 같은 내용을 담은 민관합동조사단의 SK텔레콤 침해사고 관련 최종 조사결과를 발표했다. 조사단은 이번 침해사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과 SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실을 확인했다.

우선 SK텔레콤은 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하고 있지만 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 이를 발견하지 못했다. 또한 전화번호의 마스킹 규칙이 담긴 정보를 통화상세기록(CDR)이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안 관리가 미흡했다. 마스킹 규칙은 개인정보 보호를 위해 전화번호의 일부를 별표(*) 등으로 가려 표시하는 것이다.