2025.05.21 (수요일)
토마토증권통TOMATO LiveETOMATO토마토패스증권통클럽IB토마토 회원가입 로그인
개인정보위 고학수 "SKT 해킹 피해 이미 발생…개인정보 유출 의심 여지 없다"
"복제폰 아니라도 2차 피해 가능성 충분"…대응 고민해야
"HSS·ICAS 모두 개인정보"…개인 인증수단, 개인정보로 판단
과징금 가늠 어렵지만 유례없는 상황 될 수 있어
해킹 배후 파악 어렵지만 IP 싱가포르로 확인
2025-05-21 17:42:36 2025-05-21 17:42:36
[뉴스토마토 이지은 기자] 고학수 개인정보보호위원회 위원장이 최근 SK텔레콤(017670) 유심 해킹 사태에 대해 소비자들이 불안해하며 '유심 런' 사태를 보인 것 자체로 이미 피해는 발생했다고 봐야 한다고 진단했습니다. 가입자식별번호(IMSI)가 개인정보라는 점을 감안하면 개인정보가 유출됐다는 점에 의심의 여지가 없다며 관련 사태를 파악 중인데요. 엄정한 조사를 통해 법 위반사항에 대해 강력 제재한다는 방침입니다. 
 
고학수 위원장은 21일 서울 중구 은행회관에서 정례프리핑을 열고 "회사를 믿고 서비스를 이용한 고객 입장에서 어마어마한 피해는 이미 발생했다"며 "복제폰이 아니더라도 2차 피해 가능성은 충분할 수 있어 추가 피해를 어떻게 방지할 건지, 발생 가능성이 있는 피해에 어떻게 대응할 건지 계속 고민해야 한다"고 말했습니다. 
 
개인정보위는 위원장 주재 집중조사 태스크포스(TF)를 구성해 개인정보보호법에 따른 조사를 진행 중입니다. 과학기술정보통신부, 한국인터넷진흥원(KISA) 등이 포함된 민관합동조사단과 별도로 독립된 조직입니다. 이번 사태에 대한 조사는 물론 추후 제도 개선해야 할 사안도 살피고 있습니다. 
 
고학수 개인정보보호위원회 위원장이 5월21일 오후 서울 중구 은행회관에서 개최된 기자간담회에서 질의에 답변하고 있다. (사진=개인정보위)
 
지금까지 조사된 SK텔레콤 가입자인증시스템(HSS), 통합고객시스템(ICAS) 등 18대 서버를 살펴본 결과 개인정보 유출에 의심의 여지가 없다는 것이 개인정보위의 판단입니다. 앞서 지난 19일 개인정보위는 해당 서버에 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), IMSI 등 238개 정보(컬럼값 기준)가 저장돼 있다고 밝힌 바 있습니다. 고 위원장은 "위원회에 최초 접수된 지난달 22일부터 너무나 당연히 개인정보가 유출됐다고 바라보고 지금까지 일처리를 했다"며 "지금까지 주목도가 생긴 서버에는 다 개인정보가 있었다고 봐야한다"고 강조했습니다. 
 
개인정보보호법 상 IMEI, IMSI가 개인정보의 영역에 포함되는지 의견이 분분했는데요. 개인정보위는 이 숫자들 자체도 개인정보에 포함된다는 점을 명확히 했습니다. 개인정보보호법 제2조에는 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보나 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 개인정보로 정의하고 있습니다. 고 위원장은 "고객 인증에 사용된다는 것 자체만으로 개인정보로 볼 수 있다"고 말했습니다. 
 
개인정보보호법 위반에 따른 과징금 처분은 조사결과가 마무리된 후 감경, 가중 사유 등을 살펴 최종 확정할 계획입니다. 현행 과징금은 매출액의 3%로 처분이 이뤄지고 있습니다. 개인정보위는 정보의 직접적 유출뿐 아니라 회사 내에 데이터가 있더라도 해커가 침입해 데이터를 조작할 수 있는 수준이라면 유출에 해당하는 것으로 보고 있습니다. SK텔레콤이 해킹 인지 후 수일이 지난 후에 이용자에게 유출 사실을 통지한 것에 대해서는 개인정보보호법에서 요구되는 사항을 충실하게 이행하지 않은 것으로 판단했습니다. 악성코드 웹셸 공격을 3년 동안 인지하지 못했다는 점도 정보보호에 소홀했던 대표 요인으로 지적했습니다. 현재 조사가 진행 중인 사안으로 구체적 과징금 규모 가늠이 어렵다는 입장인데요. 고 위원장은 "과징금 산정 고시에 기초해 살필 사안"이라면서도 "유례 없는 상황이 될 것"으로 내다봤습니다. 
 
SK텔레콤 유심해킹 관련 대국민 발표문. (사진=뉴스토마토)
 
해킹의 배후에 대해 고 위원장은 "정확한 해킹 배후와 원인을 파악하기는 어렵지만 이번 사안은 HSS에 있던 정보가 과금정보관리서버(WCDR)를 통해 싱가포르로 넘어간 흔적이 있었다"며 "인터넷주소(IP)가 누구의 주소인지, 누구의 통제 아래 있는지에 대해선 파악이 쉽지 않아 국제 공조가 필요하다"고 전했습니다. 
 
개인정보위는 이번 SK텔레콤 사태를 계기로 안전관리 체계 강화방안도 점검하고 있습니다. 개인정보를 다수 처리하고 대국민 영향도가 큰 대규모 개인정보 처리자에 대해 개인정보 전 주기에 걸친 점검과 이상 탐지, 암호화 적용 확대 등 즉각적·기술적 조치를 하도록 하고, 전체 IT 인력의 최소 10%를 개인정보 보호 담당 인력으로 배정토록 하는 등 개인정보보호 분야 투자 최소 기준 명확화 등 내용을 담고 있습니다. 
 
이지은 기자 jieunee@etomato.com
 
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사
0/300
댓글 0
0/0 댓글 더보기

뉴스리듬

    이 시간 주요 뉴스

      인기 뉴스

        함께 볼만한 뉴스