[시사뉴스피플=이수민  기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 SK텔레콤㈜에서 발생한 대규모 개인정보 유출 사고와 관련해, 사고가 신고된 당일인 지난 4월 22일 즉시 조사에 착수하고, 전담 TF를 구성해 ‘개인정보 보호법’에 따른 독립 조사를 진행 중이라고 19일 밝혔다.

개인정보위는 유출된 가입자 휴대전화번호, IMSI, 인증키 등 유심 관련 정보를 개인정보로 판단하고, 지난 5월 2일 위원회 긴급의결을 통해 유출이 확인되었거나 가능성이 있는 모든 정보주체에게 개별 통지할 것을 SKT에 요구했다. 동시에 피해 방지 대책 마련도 촉구했다.

이번 조사는 ‘개인정보 보호법’ 제63조에 근거한 것으로, 과학기술정보통신부 주관의 민관합동조사단이 ‘정보통신망법’에 따라 수행하는 침해사고 조사와는 별개로 진행되고 있다. 개인정보위 조사의 핵심은 △개인정보 유출 대상 및 피해 규모 확정 △사업자의 안전조치 의무(기술적·관리적 조치) 위반 여부 확인에 있다.

개인정보위는 5월 13일 관계부처 회의에서 과기정통부로부터 SKT 일부 서버의 추가 감염 가능성 정보를 공유받았고, 16일 회의에서는 실제 악성코드 감염 사실이 확인됐다고 설명했다. 이에 따라, 위원회는 SKT로부터 독자적으로 확보한 증적 자료를 바탕으로 별도의 조사를 이어가고 있다.

조사 결과, 기존에 유출 경로로 지목된 가입자인증시스템(HSS) 외에도, ICAS(통합고객시스템) 서버 2대를 포함한 총 18대 서버에서 악성코드 감염 사실이 추가로 드러났다.

ICAS는 SKT 고객 정보 및 상품 조회 API를 제공하는 핵심 시스템으로, 해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 총 238개 항목의 중요 개인정보가 저장되어 있었다.

특히 개인정보위는 악성코드의 최초 감염 시점이 2022년 6월로 파악됨에 따라, 감염 경위 및 유출 정황에 대한 정밀 조사를 이어가고 있다고 밝혔다.

개인정보위는 “이번 사고는 국민적 우려가 큰 중대한 유출 사건인 만큼, 철저한 조사와 함께 재발 방지를 위한 대책을 강구해 나갈 것”이라고 강조했다. 또한 피해 확산 방지를 위해 피싱·스미싱 대응법 안내, 유출 정보의 유통 차단을 위한 인터넷 및 다크웹 모니터링 강화 등도 병행하고 있으며, 현재의 비상대응 체제를 당분간 유지할 방침이다.