⁠⁠⁠⁠⁠⁠⁠

고학수 개인정보보호위원회 위원장이 21일 오후 서울 중구 은행회관에서 개최된 기자간담회에서 질의에 답변하고 있다.(개인정보보호위원회 제공)

“개인정보보호위원회가 SK텔레콤 해킹 사고 정황을 보면 역대급 사건으로 기록될 것입니다.”

고학수 개인정보위 위원장이 21일 오후 서울 중구 은행회관에서 정례 브리핑을 열고 “경각심을 갖고 심각하게 사안을 들여다보고 있다”며 이같이 말했다.

개인정보위는 지난달 22일 SK텔레콤의 개인정보 유출 신고를 접수한 즉시 태스크포스(TF)를 꾸리고 개인정보보호법에 따른 조사를 진행하고 있다. 과학기술정보통신부가 주축인 민관합동조사단과 달리 개인정보 유출 대상과 피해 규모, SK텔레콤의 안전조치 의무 위반 여부를 살펴보고 있다.

개인정보위 조사결과, 홈가입자서버(HSS), 통합고객시스템(ICAS) 서버 등 총 25대 서버가 악성코드에 감염된 것으로 확인됐다. 서버엔 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 총 238개 정보가 저장된 것으로 조사됐다.

고 위원장은 SK텔레콤이 유출한 자료가 개인정보에 해당한다고 강조했다.

고 위원장은 “SK텔레콤이 위원회에 유출 신고한 날부터 '수많은 개인정보가 유출됐다'고 의심의 여지 없이 바라보고 있다”며 “HSS와 ISAC 서버에 저장된 정보는 개인정보”라고 말했다.

다만 SK텔레콤은 유출된 자료의 개인정보성을 인정하지 않는 분위기다. SK텔레콤은 개인정보위 의결에 따라 전체 고객에게 유출통지를 마쳤으나, 내용을 살펴보면 '개인정보 유출 가능성에 대한 통지'라고 밝히면서 여지를 뒀다.

고 위원장은 SK텔레콤의 유출 통지와 관련해 “굉장히 유감이 많다”며 “(개인정보위 유출통지 의결 때까지) 통지를 하지 않은 것 자체가 굉장한 문제이며, 통지 내용도 '가능성이 진실이 되면 알리겠다'는 취지의 내용이 담긴 데다 개인정보보호법에서 요구하는 통지 내용에 부합하지 않는 부분도 있다”고 말했다.

그러면서 “통지가 미흡했다는 내용의 공문을 회사(SK텔레콤)에 보냈다”고 덧붙였다.

이번에 유출된 자료가 다크웹에 유포된 정황은 확인되지 않았다.

고 위원장은 “아직까지 다크웹에서 특별히 발견된 건 없다”면서도 “대규모 데이터베이스(DB) 유출 시 일부를 쪼개거나 다른 형태로 조합해 유통시키는 등 모니터링이 어렵다”고 말했다.

아울러 고 위원장은 복제폰 등 2차 피해 이전에 SK텔레콤 해킹으로 인한 피해가 이미 발생했다고 강조했다.

고 위원장은 “2차 피해를 최소화하기 위한 노력을 해야겠지만 어마어마한 피해가 이미 발생했다”며 '유심 오픈런', '통신사 이동', '국민 불안감' 등을 거론했다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.