개인정보위, SKT 메인서버 해킹 공식 확인... '왜 부정했는지 모르겠다'

[이코노믹데일리] SK텔레콤의 가입자 정보 관리 메인서버가 해킹당한 것으로 보인다는 개인정보보호위원회의 공식 입장이 나왔다. 국내 1위 통신사의 핵심 서버가 공격받았다는 점에서 사안의 심각성이 크며 개인정보보호법 개정 이후 발생한 사건인 만큼 과징금 규모도 상당할 것으로 예상된다.

최장혁 개인정보보호위원회 부위원장은 29일 정부서울청사에서 열린 정례브리핑을 통해 SK텔레콤 해킹 사고와 관련 “메인서버에서 (개인 정보) 유출이 있었다고 본다”고 밝혔다. 이는 앞서 SK텔레콤 측이 유심(USIM) 정보를 관리하는 홈가입자서버(HSS) 해킹 보도에 대해 해당 서버가 메인서버가 아니라고 해명한 것과 배치되는 내용이다. 

최 부위원장은 “SK텔레콤이 그걸(메인서버 정보 유출을) 왜 부정했는지 모르겠다”며 “메인서버에서 유출이 있었다고 보면 맞을 것 같다”고 재차 강조했다. 그는 “우리나라 1위 통신사의 메인서버가 해킹당했다는 자체가 굉장히 상징적”이라고 덧붙였다.

이번 사안의 중대성을 감안할 때 과징금 수위가 과거 유사 사례보다 높아질 가능성이 크다. 최 부위원장은 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었기에 (SK텔레콤의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다”고 설명했다. 

개인정보위는 지난해 약 30만건의 가입자 정보를 유출한 LG유플러스에 68억원의 과징금을 부과한 바 있다. 개정된 개인정보보호법은 과징금 상한선을 위반행위와 관련된 매출액이 아닌 전체 매출액의 3%까지 부과할 수 있도록 해 기업의 책임과 부담이 커졌다.

개인정보위는 지난 22일 SK텔레콤으로부터 유출 정황 신고를 받고 즉시 조사에 착수했으며 사내 변호사, 조사관, 외부 전문가 등으로 구성된 태스크포스(TF)를 가동 중이다. 최 부위원장은 “충분한 안전 조치가 조금 부족하지 않냐는 생각은 들지만 이제 조사를 해봐야 하는 상황”이라며 “유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다”고 밝혔다. 

다만 아직 조사 초기 단계인 만큼 구체적인 유출 항목이나 규모에 대해서는 말을 아꼈다. 과학기술정보통신부는 민관합동조사단 1차 조사 결과, HSS를 포함한 서버 3종이 악성코드에 감염돼 유심 정보 25종이 유출됐다고 발표한 바 있다. 

최 부위원장은 이번 사건을 계기로 기업들의 개인정보 보호 투자 강화를 촉구했다. 그는 “굴지의 대기업도 개인정보 예산이 눈에 띌 만큼 늘지 않았고, 인력 확보도 마찬가지”라며 “개인정보 분야에 대한 많은 투자와 인력 보강이 절실한 시점이라 생각한다”고 강조했다.