개인정보위원장 “SKT 해킹, 역대급 사건…유출정보 싱가포르로”

고학수 개인정보보호위원장이 21일 서울 중구 은행회관에서 열린 개인정보 정책포럼에서 취재진의 질문에 답하고 있다. 개인정보위 제공

SK텔레콤 해킹으로 유출된 정보가 싱가포르로 흘러간 정황이 포착됐다. 해킹 주체는 여전히 파악되지 않고 있다.

고학수 개인정보보호위원회 위원장은 21일 서울 중구 은행회관에서 열린 개인정보 정책포럼에서 “홈가입자서버(HSS)에 있던 데이터가 과금정보 관리 서버(WCDR)를 거쳐 싱가포르로 넘어간 흔적이 있었다”고 밝혔다.

중국이나 북한의 소행일 가능성에 대해 고 위원장은 “해킹 사건은 정확한 원인이나 범인을 확인하기 어려운 경우가 많다”면서 “싱가포르 IP 주소를 누가 통제한 것인지는 파악이 쉽지 않다. 국제 공조가 필요한 사안”이라고 말했다.

앞서 민관합동조사단은 지난 19일 2차 조사결과 발표에서 BPF도어 및 파생 악성코드 공격으로 유심 정보가 유출됐다고 밝혔다. 글로벌 컨설팅기업 PwC는 2022년 중국 해커 집단 ‘레드 멘션’이 중동, 아시아 지역 통신사를 공격하면서 BPF도어를 활용 중이라는 보고서를 낸 바 있다.

고 위원장은 “SK텔레콤 개인정보 유출 사고는 역대급 사건”이라며 “경각심을 갖고 심각하게 사안을 들여다보고 있다”고 말했다. 그는 “디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 매우 중대한 사건”이라며 “법 위반사항에 대해 강력히 제재하겠다”고 강조했다.

고 위원장은 “마치 2차 피해가 생겨야 진짜 피해라고 하는데 그건 잘못된 것”이라며 “물론 복제폰 같은 2차 피해가 생기면 정말 큰 문제이고 그게 아니더라도 피해의 형태는 다양하다”고 말했다. ‘유출 이후 추가 피해는 없다’는 SK텔레콤의 입장을 정면으로 반박한 것이다.

SK텔레콤의 대응에 유감을 표명하기도 했다. 지난달 22일 해킹 사실을 밝힌 SK텔레콤은 지난 9일에서야 개별 이용자에게 유출 사실을 문자메시지로 알렸다. 이에 대해 고 위원장은 “굉장히 유감이 많다”며 “그때까지 통지를 안 한 것도 문제이고 통지 내역에 ‘유출 가능성을 추후 알리겠다’고 표현한 것, 법에서 요구하는 내용에 부합하지 않는 것도 있었다”고 비판했다.

개인정보위는 지난달 22일부터 관련 태스크포스(TF)를 구성하고 조사를 진행하고 있다. 과학기술정보통신부가 주도하고 있는 민관합동조사와는 별개다. 지난 2일에는 긴급 전체회의를 열고 SK텔레콤이 개별 이용자에게 유출 사실을 통지할 것을 의결하기도 했다.

최민지 기자 ming@kyunghyang.com