가입자 2,500만명 정보 해킹 정황
HSS·ICAS 등 18대 서버 악성코드 감염
주민등록번호·주소 포함된 민감정보 다수 유출
[서울=뉴스핌] 양태훈 기자 = 개인정보보호위원회가 SK텔레콤의 개인정보 유출 사고를 역대급 대형 사고로 규정하며 강도 높은 제재를 예고했다. 해킹으로 감염된 서버에 주민등록번호와 주소 등 민감한 정보가 포함된 가운데, SK텔레콤의 부실한 보안 관리와 소극적인 피해 통지 절차에 대해 책임론이 제기되고 있다.
21일, 고학수 개인정보보호위원장은 이날 서울 중구 은행회관에서 열린 정책 포럼 정례브리핑에서 "SK텔레콤 개인정보 유출 사고는 저희 관점에서는 역대급 사건"이라며 "이미 국민적 피해가 발생한 사안으로, 위원회는 경각심을 갖고 심각하게 들여다보고 있다"고 밝혔다.
이번 사고는 단순한 시스템 결함이 아닌, 가입자인증시스템(HSS)과 통합고객시스템(ICAS) 등 총 18대 서버가 악성코드에 감염된 것으로 드러나며 파장이 확산됐다. 이들 서버에는 이름, 주민등록번호, 생년월일, 휴대전화번호, 주소, 단말식별번호(IMEI), 가입자식별번호(IMSI) 등 총 238개 항목의 민감한 개인정보가 저장돼 있었다.
고 위원장은 "일반적인 상식으로 보더라도 민감성이 높은 정보들이 상당수 포함된 상황"이라며 "이 서버들이 해커에 의해 감염된 정황만으로도 매우 불안한 상황"이라고 지적했다. 이어 "아직 다크웹 등에서의 유통 정황은 발견되지 않았지만, 대규모 DB일수록 조합을 통해 다양한 형태의 유출과 피해로 이어질 수 있다"고 우려했다.
특히, 침입 시점은 지난 2022년 6월로 추정되며, 해킹 이후 3년 가까이 시스템에 악성코드가 숨어 있었던 것으로 확인됐다. 고 위원장은 "장기간 악성코드가 침투해 있었지만 아무도 인지하지 못했다는 점에서, 보안 체계에 대한 근본적인 우려가 제기된다"고 강조했다.
SK텔레콤의 유출 통지 방식에 대한 비판도 이어졌다. 개인정보위는 지난 2일 유출 통지를 의결하고, 이달 9일까지 이용자 통지를 완료하도록 요청한 바 있다. 고 위원장은 이에 대해 "통지 내용에 '유출 가능성을 추후 알리겠다'는 식의 표현이 포함됐고, 회사 내부적으로도 충분히 파악하지 못한 것으로 보인다"며 "이 정도 규모의 기업이 보여준 대응으로는 매우 미흡하다"고 지적했다.
피해 규모에 대한 정확한 산정은 아직 진행 중이지만, 개인정보위는 관련법 위반 여부를 조사 중이며 과징금 부과도 검토하고 있다. 일각에서 제기된 '최대 5,000억 원 과징금' 가능성에 대해 고 위원장은 "가중·감경 사유가 있어 구체적인 액수를 가늠하긴 어렵다"면서도, "법 위반 사항에 대해 강력하게 제재할 것"이라고 밝혔다.
나아가 "SK텔레콤은 피해가 '발생했는지'를 따지기 전에, 이미 발생한 피해를 최소화하고 국민 신뢰 회복을 위해 적극적인 조치를 취했어야 한다"며 "피해자가 입증해야 진짜 피해라는 인식은 잘못된 것"이라고 강조했다.
한편, 개인정보위는 사고 신고가 들어온 지난 4월 22일부터 '집중조사 TF'를 가동해 SK텔레콤의 기술적·관리적 보호조치 위반 여부에 대한 전방위 조사를 이어가고 있다.
dconnect@newspim.com
![[김경환 변호사의 디지털법] 〈52〉W 공급망 보안과 디지털 안전법의 필요성](https://img.etnews.com/news/article/2025/05/20/news-p.v1.20250520.176414a41dbf4092bffa3494b1006d14_P3.jpg)
