(서울=뉴스1) 김정현 기자 = SK텔레콤 해킹 사태와 관련된 민관합동조사단의 2차 조사 결과 발표를 두고 '서버 로그 보관기간'이 도마에 올랐다. 3년 전 첫 악성코드 설치 시점 이후 지난해 12월까지 기록이 없어 유출 여부가 확인되지 않았다.

21일 업계에 따르면 민관합동조사단은 지난 19일 2차 조사결과 발표에서 "공격받은 정황이 있는 SK텔레콤 서버 23대 중 통합고객인증 서버와 연동되는 서버 2대에 단말기 고유식별번호(IMEI) 및 개인정보 등 저장된 파일이 있었던 것으로 파악됐다"고 설명했다.

해당 서버 2대에는 고객 인증을 목적으로 호출된 IMEI 및 일부 개인정보가 임시 저장됐다.

두 서버의 접속 로그 기록이 지난해 12월 3일부터 4월 24일까지 약 5개월치만 남아있는 탓에 유출 여부는 정확히 파악되지 않았다. 최초 악성코드 설치 시점인 2022년 6월 15일부터 지난해 12월 2일까지 약 2년 6개월간은 기록이 없다.

로그 기록이 짧게 남아있는 이유는 해당 서버들이 개인정보 등이 임시로만 저장되는 서버이기 때문이다.

SK텔레콤은 이 서버들을 개인정보처리시스템으로 분류하지 않고 임시 저장되는 개인정보 암호화 없이 방화벽 로그도 짧은 시간 보관한 것으로 보인다. 이 해석 판단은 향후 개인정보위원회에서 내릴 것으로 예상된다.

서버 로그 기록이 남아있지 않아 해킹 피해 파악이 어려워진 건 처음이 아니다.

2023년 초 LG유플러스 개인정보 유출 사건 역시 로그 기록 문제로 조사에 한계가 발생했다. 처음 데이터 유출이 발생했을 걸로 추정되는 지난 2018년 6월의 로그 정보가 보관되지 않아서다.

조사단 관계자는 "개인정보보호법 상 접속기록 의무보관 기간이 2년"이라며 "파일 유출 시점의 시스템과 DB 접속 로그가 남아있지 않아 정확한 유출 시점과 유출 경로를 특정하기 어려워 조사에 한계가 있었다"고 언급한 바 있다.

한 보안업계 관계자는 "최근 지능형지속공격(APT·Advanced Persistent Threat)은 은밀하고 장기간에 걸친 공격이 특징"이라며 "통상 기업들이 비용 때문에 로그 보관 기간을 최소 기간만 충족하는 경우가 많아 현황 파악에 어려움을 겪을 수밖에 없다"고 했다.

염흥열 순천향대 정보보호학과 교수는 "모든 개인정보처리자와 정보통신사업자에게 방화벽 서버 로그를 장기간 보존하라고 하긴 어렵다"면서도 "다만 국가적으로 중요한 정보통신 기반 시설 운영 사업자는 보존 기간을 늘리는 걸 고려해볼 수 있다"고 말했다.

이어 "로그 보존 기간도 중요하지만 보관된 기록의 이상 징후 탐지를 위한 조치를 강화해 침입·유출을 조기에 발견하고 막도록 하는 것이 더 중요하다고 본다"고 덧붙였다.

김승주 고려대 정보보호대학원 교수는 "현재 통신비밀보호법, 개인정보보호법 등 각종 법마다 보존 연한이 다 다른데, 보존 연한을 늘린다고 해도 어느 정도로 늘려야 하는지 적정 연한을 정하기가 어려운 것이 문제"라며 "영세한 기관이나 기업들은 로그를 장기간 보존해야 한다고 법으로 규정해버리면 비용 감당이 어려울 수 있다"고 했다.

이어 "영국처럼 통신 3사 등 중요 업체를 지정해서 규제수준을 높이는 등 방안은 고려할 필요가 있다"고 부연했다.

반면 규제 강화가 만능은 아니라는 지적도 있다. 임종인 고려대 정보보호대학원 명예교수는 "시스템을 장악한 해커들은 로그가 남아있어도 어디에 남아있는지 다 파악할 수 있기 때문에 지우면 그만"이라며 "안 그래도 시장 규모도 작은데, 규제만 과도하게 늘리면 글로벌 기업 진출도 막히고 국내 정보통신산업에 부작용이 클 것"이라고 말했다.

Kris@dqdt.shop