한국인터넷진흥원(KISA)은 최근 발생한 SK텔레콤(이하 SKT) 침해사고 신고와 관련해 일부 혼선이 있었던 점을 정리해 공식 발표했다​.

KISA에 따르면, SKT 침해사고 신고는 2025년 4월 20일 16시 46분에 최초 접수됐다. SKT는 신고서에 침해사고 의심 정황을 최초로 확인한 시점을 4월 18일 23시 20분으로 기재했다. 이후 KISA는 신고서 내용을 토대로 추가 확인을 요청했고, 이 과정에서 SKT는 4월 20일 15시 30분에 내부 결정권자에게 보고한 사실을 밝혔다​. 이에 따라, KISA는 SKT 신고서 내 인지 시점에 내부 보고 시점인 4월 20일 15시 30분을 추가로 기입했다.

하지만 SKT와 KISA 간 '인지 시점'에 대한 이해 차이가 존재했으며, 이러한 차이를 인지하지 못한 상태에서 자료가 외부로 전달되면서 사실관계에 대한 혼선이 발생했다는 점이 이번에 드러났다. 다만, SKT가 최초 신고한 내역은 원본 그대로 유지되어 있다고 KISA는 강조했다​.

현재 해당 침해사고에 대한 민관합동조사단 조사가 진행 중이며, 이를 통해 정확한 사실관계 확인이 이루어질 예정이다.

향후 대응 및 제도 보완 계획

KISA는 이번 혼선 사례를 계기로 침해사고 신고 과정에서 혼선과 오류, 설명 부족 등이 재발하지 않도록 제도를 보완할 계획이라고 밝혔다​. 또한 정보보호 및 디지털 전문기관으로서 신속한 대응과 투명한 정보 공유를 약속하며, 국민들의 불편과 불안이 조속히 해소될 수 있도록 최선을 다하겠다고 강조했다.

특히, KISA는 침해사고 신고 시기를 규정하고 있는 「정보통신망법 시행령」 제58조의2에 따라, 정보통신서비스 제공자는 침해사고 발생을 인지한 때부터 24시간 이내에 신고해야 한다는 점을 재차 상기했다​.

이와 관련해, '인지 시점'에 대한 명확한 정의가 부재했던 점을 보완하기 위해 전문가 의견을 수렴했으며, 앞으로는 기업이 내부 조사를 통해 침해사고 발생을 확인하고 이를 내부 결정권자에게 보고한 시점을 인지 시점으로 간주해 신고하도록 안내할 방침이다​.