개인정보위 "SKT 서버 18대 악성코드 추가 감염…고객 중요 정보 유출 가능성"

SKT 정보 유출 조사 TF 구성…"보호법 따라 엄중히 조사 중"

[사진=개인정보위]

개인정보보호위원회가 SK텔레콤에 대한 집중 조사 TF를 구성하고 개인정보보호법에 따라 엄정히 조사를 진행 중이다. 현재까지 조사 결과 고객의 중요 개인정보를 포함해 238개의 정보 유출 가능성이 확인됐다. 

19일 개인정보위에 따르면,  기존 유출경로로 확인된 HSS(가입자인증시스템) 등 5대 외에도 ICAS(통합고객시스템) 서버 2대를 포함 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다. 

ICAS는 티 월드 등 사내 서비스 및 사전 인가된 협력사를 대상으로 SKT 가입자의 가입상태, 정보 및 가입 상품 조회용 앱프로그래밍인터페이스(API)를 제공하는 시스템이다. 

해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI(단말기식별번호), IMSI(가입자식별번호) 등 고객의 중요 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장돼 있었다. 악성코드에 최초 감염된 시점(2022년 6월)이 오래된 점을 고려해 감염경위, 유출정황 등을 면밀히 조사하고 있다고 개인정보위 측은 전했다. 

개인정보위는 SKT측으로부터 유출조사에 필요한 증적 자료를 별도 확보해 보호법에 따른 조사를 독립적으로 진행하고 있다. 개인정보위 유출조사는 보호법 제63조에 따르는 것으로, 정보통신망법에 근거한 과학기술정보통신부의 민관합동조사단 조사와는 구분된다는 것이다. 

개인정보위 조사는 개인정보 유출 대상 및 피해 규모를 파악하고, 사업자의 보호법상 안전조치 의무(기술적·관리적 조치 포함) 위반 유무를 확인하는 데 중점을 두고 있다. 

앞서, 개인정보위는 기 유출 발표된 가입자 휴대전화번호, IMSI, 인증키 등 유심정보를 개인정보라고 판단했다. 이에 위원회 긴급의결을 통해 유출이 확인됐거나, 가능성이 있는 모든 정보주체에게 개별 통지하고, 피해방지 대책을 마련하도록 촉구한 바 있다. 

개인정보위 측은 "국민적 우려가 큰 대규모 개인정보 유출 사고인 만큼 철저히 조사하는 한편, 관련 대책 강구 등을 통해 재발 방지에 만전을 기할 예정"이라면서 "피싱·스미싱에 대한 대처 방법 안내와 혹시 있을지도 모를 유출정보의 유통에 대비해 인터넷 및 다크웹에 대한 모니터링을 강화하는 한편, 당분간 현 비상대응상황을 유지할 예정"이라고 밝혔다.