개인정보위원장 "SKT, 총체적 취약 상태…조치 계기 놓쳤다"

고학수 위원장 "유심정보는 당연히 개인정보… 유심 복제 피해는 거의 불가능"

[일문일답] 개인정보위원장 "SKT, 총체적 취약 상태…조치 계기 놓쳤다"

고학수 위원장 "유심정보는 당연히 개인정보… 유심 복제 피해는 거의 불가능"

개인정보위, SK텔레콤 개인정보 유출사고 제재처분 의결 (출처=연합뉴스)

(서울=연합뉴스) 차민지 기자 = 2천324만명의 개인정보를 유출한 SK텔레콤(SKT)에 1천348억원의 역대 최대 과징금을 부과한 개인정보위원회의 고학수 위원장은 "회사가 오랜 기간 전반적으로 허술한 상태를 유지해왔다"고 28일 말했다.

고 위원장은 "중간에 조치를 취할 수 있는 계기들을 지속적으로 놓친 점"을 중대하다고 판단했다며, 유출된 가입자식별번호(IMSI)나 유심 인증키가 '개인정보'인지 여부를 두고는 "너무나 당연히 개인정보라고 판단했다"고 밝혔다.

다음은 고 위원장의 브리핑과 개인정보위의 설명을 토대로 정리한 일문일답.

-- SKT에 역대 최대규모의 과징금 처분을 내렸다.

전체회의에서 위원들은 어떤 부분이 중대하다고 판단했나.

▲ (고 위원장) 총체적으로 보면 회사가 꽤 오랜 기간을 두고 전반적으로 허술한 상태를 유지하고 있었다. 총체적으로 굉장히 취약한 상태에 놓여 있었고, 중간에 회사가 조치를 할 수 있는 계기들이 있었는데 지속적으로 놓친 것에 위원들 전반이 답답함을 느꼈다.

-- 휴대전화번호, IMSI, 유심 인증키가 개인정보에 해당하나.

▲ (개인정보위) 휴대전화번호는 일반적으로 특정 개인에게 귀속되는 정보로, 모바일 시대 개인을 식별하고 연결하는 핵심 수단으로 이용되는 중요한 개인정보에 해당한다. IMSI 및 유심 인증키의 경우 SKT가 유출된 정보 외에 성명, 주소, 서비스 이용기록 등의 이용자 개인정보를 함께 보유·관리해 이를 언제든 쉽게 서로 결합해 알아볼 수 있다.

▲ (고 위원장) 개인이 외부와 소통할 때 가장 핵심적인 정보라고 할만한 정보가 유출됐다. 너무나 당연히 개인정보라고 판단했다. SKT도 7월 말에 개인정보가 유출됐다는 '확정' 통지를 했고, 위원회 측에 유출된 정보가 개인정보가 아니라는 소명도 하지 않았다.

-- 유심 인증키가 개인정보보호법상 암호화 대상인 인증정보에 해당하나.

▲ (개인정보위) SKT는 인증이 완료된 단말을 소유한 이용자에게만 이동통신 서비스를 제공하고 있다. 유심 인증키는 '개인정보처리시스템에 접속을 요청하는 자의 신원을 검증하는 데 사용되는 정보'로 기타 암호화 대상 인증정보에 해당한다.

-- 개인정보로 상업적 이득을 취한 경우와 아닌 경우는 과징금 기준이 달라야 한다는 의견도 나온다. 앞으로도 다른 기업들이 해킹당했을 때 같은 수준의 처벌을 할 예정인가?.

▲ (고 위원장) 법과 원칙에 따라 일관성 있게 법을 적용하되 개별 사건의 특수성도 당연히 고려하겠다.

-- 과징금과 관련한 위원 간 이견이 있었는가.

▲ (고 위원장) 어제 전체회의 이전에 위원들과 간담회를 4차례나 진행했다. 위원들 의견이 처음부터 일치되지는 않았다. 다만 의견들을 서로 또 주고받으며 결국은 컨센서스(의견일치)를 이뤄냈다.

-- 조사 결과에 따르면 2022년 6월부터 2024년 12월까지의 개인정보 유출은 확인할 수 없다고 돼 있다.

▲ (고 위원장) 홈가입자서버(HSS) 서버에서 정보가 유출된 부분에 대해서는 명확하게 파악할 수 있었다. 통합고객인증시스템(ICAS) 서버에서 나간 정보는 이미 3년이 넘는 기간 취약한 상태에 노출돼 있었지만, 정작 방화벽 로그가 4개월 치만 남아있어 유출 여부를 확인할 수 없었다.

-- 유출된 정보로 유심 복제 피해가 일어날 수 있는가.

▲ (고 위원장) SKT의 경우 유심 보호 서비스를 가입자 모두에게 적용하고 있어 거의 불가능하다. 추가로 SKT가 이상거래탐지시스템(FDS)도 적용하고, 고도화하는 과정을 거치고 있다. 다만 이 조치들이 완벽하게 작동하지 않으면 유심 복제가 생길 수도 있다.

-- 오는 9월 초 발표할 개인정보 안전관리 체계 강화 방안에는 어떤 내용이 담기나.

▲ (고 위원장) 기업과 기관 현장에 있는 분들이 수동적이고 기계적으로 위원회의 법률, 고시, 지침, 해설서 등에서 요구하는 최소한의 것만 하고 있다.

이것만 하면 해결된다고 생각하는 관행과 문화가 깨져야 한다. 또 개인정보 업무를 하는 분들이 조직 안에서 큰 역할을 부여받지 못하고 책임만 떠맡는 경우가 많았다. 그 책임에 걸맞은 권한도 부여받고 조직이나 예산도 확보할 수 있는 방향으로 준비하고 있다.

'해킹 사태' SKT 과징금 1천348억 (출처=연합뉴스)

chacha@yna.co.kr

(끝)

<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>