"SK텔레콤 해킹은 역대급 사건으로 기록될 것입니다. 일부에서 '개인정보 유출 피해가 발생된 것이 증명 되면'이란 단서를 다는데, SK텔레콤 고객과 국민 관점에서 보면 이미 어마어마한 피해가 발생한 것입니다."
고학수 개인정보보호위원회 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책포럼'에서 기자간담회를 열고 "핵심적 피해는 이미 발생했으므로 앞으로 추가 피해를 어떻게 방지하고 대응할 것인지 고민해야 하는 상황"이라며 이같이 말했다.
고 위원장은 "지난 4월 SK텔레콤의 신고가 들어온 날부터 너무나 당연히 개인정보 유출이라고 의심의 여지 없이 바라보고 일하고 있다"며 "당시 신고된 25종의 데이터는 당연히 개인정보라고 봤고, (2차 조사에서) 추가적으로 확인된 것은 이름과 생년월일 등의 데이터였는데 이런 게 다 개인정보"라고 했다. 개인정보위는 데이터가 회사 내부에서 외부로 나가는 것뿐 아니라 해커가 데이터를 조작할 수 있는 상황도 유출에 해당하는 것으로 보고 있다.
최근 SK텔레콤 가입자들의 유심(USIM) 정보가 유출된 정황이 확인됐고, 악성코드에 감염된 서버의 범위도 조사를 거듭하면서 넓어지고 있다.
과학기술정보통신부 등이 참여하는 민관합동조사단에 따르면 1차 조사에선 악성 코드에 감염된 서버 5대 가운데 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 25종의 정보 유출이 확인됐다. 2차 조사에서는 감염 서버 18대를 추가로 확인, 총 23대가 감염된 것으로 파악됐다. 이 서버들 가운데 2대는 통합고객인증 서버와 연동되고, 여기엔 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 정보가 있는 것으로 조사됐다.
그러나 조사단은 이번 해킹으로 인한 복제폰이 나타날 가능성은 낮고, 피해 사례도 확인되지 않고 있다며 지나친 불안감 조성을 경계하고 있다.
이에 대해 고 위원장은 "2차 피해가 생겨야 진짜 피해라는 주장은 잘못된 것"이라며 "어마어마한 피해가 이미 발생했기 때문에 복제폰 맥락이 아니라도 다양한 형태의 2차 피해 가능성은 아주 폭넓게 나타날 수 있다"고 지적했다. 또 "유출 규모가 대규모이기 때문에 개인정보 일부를 쪼개서 다른 형태로 조합해 유통하면 이를 조사하기도 어렵다"고 덧붙였다.
고 위원장은 SK텔레콤이 고객을 상대로 통지한 내용과 시기도 문제 삼았다. 그는 "SK텔레콤이 5월 초 고객 상대로 통지를 했는데 몇주가 지난 그때까지 안 한 것 자체뿐 아니라, 유출 가능성이 진실이 되면 알리겠다는 식으로 굉장히 소극적인 취지의 내용을 통지한 까닭에 굉장히 유감이 많다"며 "이에 따라 통지가 미흡했다고 SK텔레콤에 공문을 보냈다"고 전했다.
해커의 국적과 목적, 유출 경로 등은 파악중인 것으로 나타났다. 고 위원장은 "해킹 사건은 배후나 범인을 확인하기 어려운 경우가 훨씬 많다"며 "이번 건에서 싱가포르 IP가 파악되나 실제 통제는 누구에 의한 것인지는 국제 공조와 시간이 필요하다"고 말했다. 고 위원장은 "다만 개인정보위는 그런 해킹의 배후보다는 정보주체인 일반 국민 관점에서 기업이 개인정보보호 관리를 잘했는지, 소홀하게 했는지에 초점이 있다"고 했다.
개인정보위는 이번 사안의 심각성을 고려해 최대한 빠르게 조사 결과를 내놓을 계획이다. 고 위원장은 "2500만명에 달하는 고객 데이터가 해킹되는 등 사안이 워낙 중대하고 시급성이 있어 지난 4월 22일 SK텔레콤의 신고 접수 직후 위원장이 직접 주재하는 TF(태스크포스)를 만들어 개인정보위 독립적으로 조사를 진행하고 있다"며 "개인정보위 역량을 최대한 동원하고 다른 사건보다 우선해 신속하게 처리할 것"이라고 말했다.
이와 함께 징벌적 손해배상을 비롯해 과징금을 피해자 구제에 활용하는 방안 등 다양한 대응책을 민간과 논의해 마련할 방침이다. 개인정보위 관계자는 "2500만건에 달하는 SK텔레콤 사건에 따라 올해 신고된 개인정보 유출 규모가 전년대비 3배 가까이 증가하는 등 '위기 상태'로 급증했다"며 "유사 사례의 재발 방지를 위해 종합적으로 개인정보 안전관리 체계를 강화하는 내용의 대책을 수립하고 시행할 계획"이라고 전했다.
