고학수 개인정보보호위원장이 SK텔레콤 해킹 사태와 관련해 “역대급 사건”이라며, 피해자 중심의 조사와 제도 개선 필요성을 강하게 강조했다. 이날 기자간담회에서 고 위원장은 유출된 개인정보 범위가 광범위하고 민감하며, 이미 실질적 피해가 발생한 사안이라고 밝혔다. HSS·통합고객시스템(ICAS) 서버 등 핵심 시스템 해킹 정황이 드러났고, 다크웹 유통 여부는 아직 확인되지 않았지만 대규모 데이터 조합 가능성에 대한 우려도 제기됐다. 다음은 고 위원장의 일문일답:
1) 유심 등 정보 다크웹 유출 확인 여부 및 조사 일정
답변:
HSS 서버에서 SKT 고객 전체 데이터가 유출됐고, 최근에는 ICAS 서버에서도 추가 자료를 확보해 분석 중이다. 전체 사건의 규모와 심각성을 고려해 TF를 구성하고 집중 대응 중이며, 결과 발표 시점은 아직 정해지지 않았다. 지금까지 다크웹에서 관련 정보는 발견되지 않았으나, 데이터 규모가 크기 때문에 변형·재조합된 형태로 유통될 가능성도 배제할 수 없다.
2) 로그 미존재 사유 및 개보법상 저장 의무
답변:
문제된 로그는 방화벽 로그로 추정되며, 접근통제와 방화벽 관리는 구분해 봐야 한다. 접근통제의 경우 고시 사항을 기준으로 판단하게 된다. 로그 미존재 여부는 시스템 구조와 관련이 있으며, 현재는 침해 탐지와 관련된 보다 폭넓은 분석이 필요하다.
3) IMEI, IMSI 등 정보의 개인정보 여부 판단
답변:
위원회는 유출 신고가 접수된 4월 22일부터 IMEI, IMSI 등 포함된 25종 정보를 개인정보로 간주하고 대응해왔다. ICAS 서버에서 확인된 이름, 생년월일, 주소 등도 명백한 개인정보이며, HSS와 ICAS 서버 모두 개인정보가 포함된 것으로 판단하고 있다.
4) 징벌적 손해배상 적용 및 제도 개선 필요성
답변:
현행 개인정보보호법에 징벌적 손해배상 조항은 있지만, 법원의 해석과 판례를 보면 소비자 입장에선 아쉬울 수 있다. 실효성 있는 피해구제 방안과 제도 개선이 필요하다는 문제의식을 갖고 있으며, 위원회 차원에서도 이에 대한 고민과 논의가 진행 중이다.
5) ISMS-P 의무화 등 후속 조치 우선순위 및 입법 방향
답변:
이번에 발표된 5가지 과제는 내부 검토 중이던 사안과 SKT 사건 계기로 추가된 과제가 섞여 있다. 어떤 사안을 법 개정으로, 어떤 건 고시 개정으로 추진할지는 내용 정리 후 결정할 예정이다. ISMS-P는 의무화 추진 중이며, 법률 개정이 필요하다.
6) 해킹 경로 및 개보위가 인지한 정보 공유 범위
답변:
많은 해킹 사건처럼 이번에도 해커의 정체나 목적을 명확히 확인하기는 어렵다. 현재까지 확인된 바로는 HSS 서버를 거쳐 WCDR, 싱가포르 IP로 연결된 정황이 있으나, 실제 통제 주체는 확인되지 않았다. 위원회는 해킹 주체보다 고객 정보 보호와 기업의 안전조치 의무 이행 여부에 집중하고 있다.
7) SKT의 ISMS 및 ISMS-P 인증 당시 이상 유무
답변:
인증을 받았다는 것은 해당 범위 내의 관리 시스템은 요건을 충족했다는 의미다. ISMS-P는 전체 시스템이 아니라 일부에만 적용되며, HSS 서버는 인증 범위에 포함되지 않았다.
(양청삼 국장) HSS 서버는 인증 범위 밖이었다.
8) ICAS 서버 암호화 체계 파악 및 향후 대응 방향
답변:
암호화 관련 고시에 따르면 주민번호 등 특정 정보와 인증정보는 암호화 대상이다. HSS에서 유출된 인증 키값도 해당될 수 있으며, 이에 대한 해석과 적용 여부는 분석 중이다. 현재 TF를 구성해 제가 직접 주재하며, 실시간 대응체계를 가동 중이다.
9) 통지 지연 논란 및 안전조치 의무 위반 여부
답변:
TF는 조사 외에도 제도 개선 논의 역할을 한다. 5월 2일 위원회 의결 이후 9일까지 통지하도록 했으나 SKT의 통지는 지연됐고, 내용도 부실해 법상 요건을 충족하지 못했다. 해당 내용은 처분 시 반영할 예정이다. 리눅스 패치 미적용 등 보안 미비 사항에 대해서도 조사가 진행 중이다.
10) IMEI 포함 서버 조사 착수 여부 및 처벌 가능성
답변:
과기부와는 별도로 위원회가 직접 조사를 진행 중이다. 유출은 단순히 외부 반출이 아니라, 해커가 내부에서 데이터에 접근하고 조작할 경우도 포함된다. ICAS 서버에 대한 유출 여부는 조사 후 판단할 사안이다.
11) 과징금 5000억원 추정 관련 입장 및 2차 피해 우려
답변:
2차 피해는 복제폰 등 형태로 발생할 수 있으며, 위원회는 이를 지속 모니터링 중이다. 5000억 원은 3% 계산에 따른 추정일 뿐, 실제 과징금은 가중·감경 요소를 종합해 결정되며 사건 마무리 단계에서 산정된다. 이번 사건은 전례 없는 중대 사안으로 보고 있다.
12) 통지 지연에 따른 개보법 개정 필요성 여부
답변:
현행법에도 유출통지 의무는 명확히 규정돼 있다. SKT는 통지를 지연했고, 내용도 부실했다. 이는 법상 의무를 충실히 이행하지 않은 것으로, 위원회는 명백한 문제로 보고 있다.
13) ICAS 서버 유출 정보 및 분쟁 조정 준비
답변:
ICAS 서버엔 생년월일, 주소 등 민감 정보가 포함된 238개 항목이 저장돼 있었다. 악성코드 감염이 확인된 만큼 유출 가능성에 대한 우려가 크다. 현재 웹셸 공격도 확인됐고, 이처럼 오랜 기간 침입을 몰랐던 점은 큰 문제다. 분쟁조정 신청도 100명 이상 접수돼 절차에 따라 진행 예정이다.
14) 해킹 의도 및 LG유플 사건과 비교 평가
답변:
많은 해킹은 의도 파악이 어렵고, 랜섬웨어처럼 경제적 목적이 분명한 경우가 예외다. 위원회는 안보보다 국민 개인정보 보호와 기업의 책임에 초점을 맞춘다. 이번 사건은 HSS 서버 트래픽 이상으로 발견된 것이며, LG유플은 다크웹 유통 후 사후 인지된 사례로 유형이 다르다.
15) 기술조사 인력 운영 여부
답변:
위원회 내에 기술적 지식을 갖춘 인력이 일부 있으나, 한계가 있다. 현재 KISA와 협력해 기술 지원을 받고 있으며, 지난해부터 포렌식 랩 구축 예산이 반영돼 올해 완료되면 향후 사건 대응 속도와 전문성이 향상될 예정이다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
