고학수 위원장 "SKT 해킹 '역대급' 사건…집단분쟁 성립"[일문일답]

[이데일리 임유경 기자] 고학수 개인정보보호위원장은 21일 SK텔레콤(017670) 고객 유심(USIM) 정보 해킹 사태와 관련해 “이번 사건은 위원회 관점에서 역대급 사건으로 기록될 정황이 있다”며 “SK텔레콤 고객, 더 넓게는 일반 국민 관점에서 이 사안을 봐야 한다”고 밝혔다. 위원회는 이번 사건과 관련해 TF를 구성해 집중 조사 중이며, 다양한 제도개선도 병행해 검토 중이라고 밝혔다.

고학수 개인정보보호위원회 위원장이 21일 오후 서울 중구 은행회관에서 개최된 기자간담회에서 질의에 답변하고 있다.(사진=개인정보위)

다음은 이날 서울 중구 은행회관에서 열린 ‘개인정보 정책포럼’에서 이뤄진 고학수 위원장과 양청삼 개인정보정책국장과의 일문일답이다.

-개인정보위 조사 과정에서 유심 등 정보가 다크웹에 유출된 정황이 있나. 과기부 민관합동조사단 결과 발표와는 별도로 개인정보위는 언제쯤 조사결과를 내나.

△고학수 개인정보위원장(이하 고): 홈가입자서버(HSS) 서버에서 나간 데이터가 있고, 최근에 추가로 통합고객인증시스템(ICAS) 서버도 확인됐다. HSS는 SKT 고객 전체 데이터가 해킹된 것이다. ICAS 서버는 최근 위원회가 데이터를 입수해 분석 중이다. 전체 상황을 이해하고 증적자료를 확보해야 하기 때문에, 결과 발표 시점을 지금 말씀드리긴 어렵다. 다만 사건의 중대성과 시급성을 고려해 TF를 구성했고, 담당 부서에서 다른 사건보다 우선순위를 높여 다루고 있다. 다크웹에서는 아직 관련 데이터를 발견하지 못했다. 다만 데이터가 워낙 방대해서 일부를 잘라내거나 다른 정보와 조합해 유통될 경우 모니터링이 어려운 건 사실이다. 현재까지는 발견된 바 없다.

-로그가 없는 기간에 대해 ‘누가 지운 거냐’는 의혹이 있다.

△고: 로그 중에서도 특히 방화벽 로그에 대한 이야기인 듯하다. 접근통제 로그와 방화벽 관리를 구분해서 봐야 한다. 접근통제 관련 로그는 고시에 따라 판단해야 하며, 방화벽은 로그뿐 아니라 그 사이를 오간 트래픽 분석과 침해탐지 전반으로 보는 게 맞다. 로그가 없다는 것 자체만으로 단정하긴 어렵고, 시스템 특성 분석도 필요하다. 현재 내부에서 추가 분석 중이다.

-IMEI, IMSI는 개인정보인가.

△고: 4월 22일, SKT로부터 전화번호, IMSI 등을 포함한 25종의 정보 유출이 신고됐다. 위원회는 그 시점부터 당연히 개인정보 유출로 보고 대응해왔다. 이후 ICAS 서버에서 이름, 생년월일, 주소 등도 발견됐고, 당연히 개인정보다. HSS와 ICAS 서버 모두 개인정보가 담겨 있었다. 개별 항목을 떼어서 개인정보 여부를 따지는 건 큰 의미가 없다. 해킹된 서버에는 개인정보가 있었고, 개인정보 유출로 간주하고 있다.

-징벌적 손해배상, 법 개정이 필요한가.

△고: 현재 개인정보보호법에도 징벌적 손해배상 조항은 있다. 하지만 법원의 해석에 따라 소비자 입장에선 아쉬움이 있을 수 있다. 이와 관련해 제도 개선 필요성은 위원회 내부에서도 충분히 인식하고 있다. 실질적인 피해구제를 어떻게 실현할지에 대한 논의도 진행 중이며, 제도 개선 차원에서 고민하고 있다.

-정책포럼에서 ISMS-P 의무화 등 5개 개선 방안 발표했는데, 우선 추진 과제는 무엇인가.

△고: 오늘 발표한 내용은 위원회 내부에서 논의 중이던 것들과 이번 SKT 사건 계기로 새롭게 검토하게 된 사안이 섞여 있다. 외부 전문가와 처음 공유하는 자리였다. 앞으로 구체화 과정에 따라 법률 또는 시행령·고시 개정이 필요할 수 있다.

△양청삼 조사국장(이하 양): ISMS-P는 의무화 추진 중이며, 이는 법률 개정이 필요하다. 구체화 방안은 추가 논의가 필요하다.

-수사 협조는 어디까지 이뤄지고 있나, 해킹 IP와 관련해 북한, 중국 얘기도 있는데 공유된 내용 있나.

△고: 해킹 사건은 대개 해커의 신원이나 동기를 밝히기 어려운 경우가 많다. 이번에도 HSS 서버에서 WCDR 거쳐 싱가포르로 넘어간 IP 흔적은 확인했지만, 그 이후 통제가 누구에 의해 이뤄졌는지는 파악하기 어려웠다. 국제 공조가 필요한 사안이기도 하다. 위원회의 초점은 ‘누가 해킹했느냐’보다는 ‘개인정보 보호의무를 다했느냐’에 있다.

-작년에 SKT는 ISMS, ISMS-P 세 개 인증 심사 받았는데 문제가 없었나?

△고: 인증제도 취지상 해당 범위 내에서는 문제가 없었던 것이다. ISMS-P는 관리 시스템이 있는지를 평가하는 것이지, 침해방지 시스템의 효과성을 평가하진 않는다. 시스템 전체를 다 보는 것도 아니다. 일부 시스템만 인증받기도 한다.

△양: 기본통신 관련 HSS 시스템은 ISMS-P 인증 범위에 포함되지 않았다.

-HSS 암호화 문제 얘기도 나왔는데 ICAS 암호화는 파악이 됐는지.

△고: 고시상 암호화 대상 항목은 두 가지가 있다. 주민등록번호, 여권번호 등 구체적 항목과 인증정보가 그 예다. HSS에서 나간 정보가 두 정보에 대한 키값 인증값이 암호화대상이냐라는게 전문가들 논의인데, 인증키값은 고시에 암호화대상 인증정보에 해당되는것으로 보고 있다. 어떤 항목이 해당되는지는 해석과 사실관계를 내부적으로 정리 중이다. TF를 직접 주재하고 있으며, 매주 정례 회의 외에도 수시 회의를 통해 실시간 대응하고 있다.

-SKT가 유출 통지를 9일에 했는데 ‘유출 가능성이 있다’는 내용이었다.

△고: 위원회가 5월 2일 유출 통지를 의결했고, 5월 9일까지 통지하라고 했다. 그러나 SKT는 그 기한 내에 통지를 하지 않았고, 실제 통지 내용도 “유출 가능성이 있다” “조사 후 알리겠다”는 식의 소극적인 표현이 많았다. 법에서 요구하는 통지 요건을 충족하지 않았다고 판단했고, 관련 공문도 보냈다. 통지 절차는 향후 제재 수위 결정 시 반영할 것이다.

-과기부에 따르면 감염된 임시저장 서버 2대에 개인정보가 있다고 한다. 이들 서버에 해커가 침입한 사실만으로도 보호법 위반인가.

△고: 해커가 침입해 데이터를 열람하거나 조작 가능한 상황이라면, 실제 외부 유출이 없어도 유출로 간주될 수 있다. ICAS 서버가 그 상황에 해당하는지 여부는 현재 조사 중이다. 조사결과에 따라 판단할 사안이다.

-과징금 5000억 원 얘기 나오는데.

△고: 과징금은 법상 3% 상한이 적용되는데, 실제 산정은 사건 종료 후 감경·가중 요소를 반영해 최종 결정된다. 지금 시점에서 금액을 확정적으로 말하긴 어렵다. 다만 과거 LG유플러스 사례와는 차원이 다른 유례없는 사건이다.

- 통지 지연 관련, 입법적으로 개선 필요하지 않나.

△고: 개보법상 유출 통지 의무가 있다. SKT는 이 의무를 지키지 않았고, 내용도 부실했다. 그 자체가 법 위반 소지가 있다.

- ICAS 서버에 238개 항목 있다고 했는데 IMEI 유출 여부는.

△고: ICAS 서버에는 생년월일, 이름, 주소 등 민감한 개인정보가 포함된 238개 항목이 있었다. 민감성 높은 정보가 많이 포함돼 있다. 지금은 악성코드에 감염됐다까지만 발표된것이고 실제로 해커가 어떤식으로 뭘했는지는 조사중인 상황이다. 웹셸 공격도 확인됐다. 이를 3년간 인지하지 못한 건 심각한 문제다. 분쟁조정 신청이 최근 100건 접수됐고, 50건 이상이면 집단분쟁으로 간주된다. 절차에 따라 대응할 예정이다.

-해킹 의도가 안 밝혀졌다는 발표가 있었는데, 위원회 관점은 무엇인가.

△고: 해킹 사건에서 동기를 파악하기 어려운 경우가 많다. 위원회는 국가안보보다는 국민의 개인정보 보호 관점에서 접근한다. LG유플러스 사례와 달리 이번 사건은 최근 외부 유출 정황이 포착돼 조사에 착수하게 됐다. 악성코드는 3년 전부터 있었지만, 유출 징후는 최근에 포착된 점이 차이다.

-개인정보위에 기술 인력이 부족하다는 지적이 있다.

△고: 내부에 기술적 배경을 가진 인력이 일부 있지만, 실무상 어려움이 있는 것도 사실이다. 한국인터넷진흥원(KISA)과 협업 중이며, 작년에 관련 예산도 반영돼 전문성 보완을 위해 준비하고 있다.