SK텔레콤(SKT) 해킹 사태와 관련해 전문가들이 국가 차원의 사이버 공격에 대해 민간 기업에 일방적인 책임을 물을 수 없다는 의견을 내놓고 있는 가운데 개인정보보호위원회가 역대급 수준의 과징금을 부과하겠다고 예고하고 나섰다. 기존에 유출된 가입자식별키(IMSI)뿐 아니라 새로 발견된 단말기식별번호(IMEI)도 개인정보로 판단하면서 유출 범위를 더 넓게 보고 있기 때문이다.
고학수 개인정보보호위원장은 21일 한국CPO협의회와 공동으로 주최한 포럼 후 기자간담회에서 "SKT 해킹 사건은 국민의 입장에서 바라봐야 한다"며 "국민 절반이 믿고 이용한 서비스에서 피해가 발생한 만큼 국민이 피해자"라고 말했다.
그는 "SKT는 '피해 발생 시'를 조건으로 내세우지만 유출 자체가 이미 피해"라며 "2차 피해가 확인돼야 한다는 주장도 착각이다. 유출만으로도 피해는 시작된 것이며 복제폰 외에도 다양한 경로로 큰 피해가 발생할 수 있다"고 지적했다.
또한 "회사 외부로 나간 것뿐 아니라 내부에 데이터가 남아 있더라도 해커가 침입해 조작할 수 있는 상황이라면 그것도 유출로 본다"며 "이런 관점에서 조사 중"이라고 설명했다.
고 위원장은 "SKT는 고객 피해 방지 대책을 세우지 못했다"며 "개인정보위는 해킹이 왜 발생했는지, 왜 막지 못했는지, 대응 과정에서 안전조치 의무를 제대로 지켰는지에 집중할 것"이라고 말했다.
개인정보위는 지난달 22일 SKT 신고 당일 조사를 시작했고, 현재 전담 태스크포스를 구성해 개인정보보호법 위반 여부를 조사 중이다. 조사의 핵심은 유출 대상과 피해 규모, 그리고 기술적·관리적 보호 조치 위반 여부다.
지금까지 개인정보위는 SKT 가입자인증시스템(HSS)을 포함해 총 18대 서버에서 악성코드 감염을 확인했다. 여기에 통합고객시스템(ICAS) 서버 2대도 포함됐으며 이들 서버에서는 총 29만2831건의 IMEI와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 임시 저장돼 있었다.
2022년 6월 15일부터 2024년 12월 2일까지는 로그가 남아 있지 않아 해당 기간 중 유출 여부는 확인이 불가능하다. 삭제된 로그는 규정상 저장 의무가 없기 때문에 문제 삼지 않기로 했다.
개인정보위는 IMSI와 IMEI가 단독으로는 식별하기 어렵더라도 다른 정보와 결합해 개인정보로 활용될 수 있어 모두 개인정보로 본다. 고 위원장은 "SKT가 신고한 순간부터 이는 당연히 개인정보 유출 사건으로 판단했다"고 설명했다.
또 "HSS 서버에서는 고객 전체 데이터가 나갔고, ICAS 서버도 현재 분석 중"이라며 "전체적인 그림을 정리하며 TF를 중심으로 신속하게 대응하겠다"고 말했다.
과징금 산정에 대해 고 위원장은 "조사 완료 후 감경 또는 가중 사유를 반영해 결정된다"며 "금액을 단정하기 어렵다"고 했다.
그는 이번 사태를 LG유플러스와는 차원이 다르다고 평가했다. 개인정보보호법 개정으로 과징금 상한이 전체 매출 대비 3%로 상향된 만큼 2024년 SKT 총매출 17조9406억원을 기준으로 최대 5300억원을 넘을 수 있다.
참고로 개인정보위는 지난해 LG유플러스에 30만건 유출과 관련해 과징금 68억원을 부과했다. 당시에는 매출 대비 3% 이내 관련 매출 기준을 적용했다. KT는 2012년 873만건 유출로 과징금을 약 7억원 부과받은 바 있다.
고 위원장은 "SKT는 유출 가능성이나 피해 사실이 확인되면 알리겠다고 통보했는데 이는 유감이며, 사태 해결 의지도 미흡했다"고 지적했다. 이어 "통지 방식도 부실했다"며 "전체 상황 종료 이후 이 부분까지 포함해 종합적으로 고려하겠다"고 덧붙였다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
