개인정보위, SKT 조사 TF 구성…"보호법 위반 여부 파악중"

[이데일리 최연두 기자] 개인정보보호위원회는 최근 해킹 공격을 받은 SK텔레콤을 대상으로 집중 조사를 실시하기 위해 태스크포스(TF)를 구성했다고 19일 밝혔다.

서울 종로구 정부서울청사 내 설치된 개인정보보호위원회 현판(사진=개인정보위)

개인정보위 유출 조사는 개인정보보호법 제63조에 따른 것으로, 정보통신망법에 근거한 과학기술정보통신부부 민관합동조사단의 침해 사고 조사와는 구분된다. 개인정보위 조사의 핵심은 △개인정보 유출 대상 및 피해 규모 △사업자의 보호법상 안전조치 의무(기술적·관리적 조치 포함) 위반 등을 확인하는 것이다.

이에 따라 개인정보위는 SK텔레콤으로부터 유출 조사에 필요한 증적 자료를 별도 확보해 보호법에 따른 조사를 독립적으로 진행 중이다. 앞서 과기정통부는 지난 13일 관계부처 회의에서 개인정보가 포함된 서버의 추가 감염 가능성을 공유했고, 지난 16일 회의에서 악성코드 추가 감염 사실을 확인했다고 밝힌 바 있다.

개인정보위는 조사 과정에서 기존 유출 경로로 확인된 홈 가입자 서버(HSS) 등 5대 외에도 통합 고객 시스템(ICAS) 서버 두 대를 포함 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다. ICAS 서버는 T월드 등 사내 서비스와 사전 인가된 협력사 대상 SK텔레콤 이용자의 가입 상태, 정보 및 가입 상품 조회용 응용 프로그래밍 인터페이스(API)를 제공한다.

개인정보위에 따르면 해당 ICAS 서버에는 이름·생년월일·휴대전화 번호·이메일·주소·단말기 식별번호(IMEI)·가입자 식별번호(IMSI) 등 이용자의 개인정보를 포함해 총 238개 정보가 저장된 것으로 확인됐다. 개인정보위는 악성코드에 최초 감염된 시점이 지난 2022년 6월이라는 점을 고려해 감염 경위와 유출 정황 등을 면밀히 조사하고 있다고 밝혔다.

개인정보위 관계자는 “국민적 우려가 큰 대규모 개인정보 유출 사고인 만큼 철저히 조사하는 한편, 관련 대책 강구 등을 통해 재발 방지에 만전을 기하겠다”며 “피싱·스미싱에 대한 대처 방법 안내와 유출 정보의 유통에 대비해 인터넷 및 다크웹에 대한 모니터링을 강화하고 당분간 현 비상대응 상황을 유지할 예정”이라고 말했다.

앞서 개인정보위는 SK텔레콤에서 실제 유출된 가입자 휴대전화 번호, IMSI, 인증키 등 유심정보를 개인정보로 판단했다. 이에 SK텔레콤에 유출이 확인됐거나 가능성이 있는 모든 정보 주체에게 개별 통지를 하고, 피해 방지 대책을 마련하라고 지난 2일 긴급 안건을 의결했다.