"SKT 유출 개인정보 싱가포르로 흘러간 정황 확인"

고학수 개인정보보호위원회 위원장 /사진=한국경제신문 임형택

개인정보보호위원회가 SK텔레콤에서 해킹으로 유출된 가입자 개인정보가 싱가포르로 흘러간 정황을 확인했다고 밝혔다.

고학수 개인정보위 위원장은 21일 서울 중구 은행회관에서 개인정보위와 한국CPO(개인정보보호책임자)협의회가 공동 주관한 개인정보 정책포럼에서 기자들과 만나 "SK텔레콤 건은 저희가 보는 정황으로는 역대급 사건"이라며 "경각심을 갖고 심각하게 사안을 들여다보고 있다"고 밝혔다.

해킹의 배후를 묻자 그는 "데이터가 HSS(가입자인증시스템)에 있다가 싱가포르를 거쳐서 넘어간 흔적이 있었다”면서도 “싱가포르 IP주소가 누구 통제로 있었던 것인지 파악하기 어렵다"고 밝혔다. 국제 공조가 필요한 사안인 만큼, 조사에 추가 시간이 필요하다고도 했다.

개인정보위는 현재 개인정보 유출 대상 및 피해 규모의 확정과 사업자의 관련 법상 안전조치 의무 위반을 확인하고 있다. 고 위원장은 “현재 SKT의 HSS에 있는 2500만명 고객 전체 데이터가 해킹된 것”이라며 “최근에 이름, 생년월일, 주소 와 같은 데이터가 담긴 통합고객시스템(ICAS) 서버의 데이터도 입수해 감염 경위를 분석하고 있다”고 말했다.

고 위원장은 정보 유출 이후 SK텔레콤 측의 대응이 미흡했다고 지적했다. 그는 “SKT 고객을 넘어 국민적인 피해가 발생한 것이고 회사가 그 피해를 막지 못한 것”이라며 “2차 피해가 생겨야 진짜 피해가 생긴 것처럼 말하는 것은 잘못된 것이고, 복제 핸드폰이 아니더라도 2차 피해 형태는 다양하다”고 우려했다.

이어 “개인정보위가 5월 2일 의결한 이후 9일 (SKT가) 통지하긴 했지만, 그때까지 통지 안 한 것도 문제이고 통지내용에 ‘유출 가능성을 추후 알리겠다’고 표현한 것, 법에서 요구한 부분에 부합 안 된 내용도 있었다”고 지적했다. 개인정보위는 SKT에 이러한 내용의 공문을 보낸 상태다.

과징금과 관련해서는 “어느 정도일지는 지금 시점에서 가늠하기 어렵지만, 과거 LG유플러스 사례와는 전혀 사안이 다른, 유례가 없는 상황”이라고도 했다. 앞서 개인정보위는 2023년 7월 30만건의 고객 정보를 유출한 LG유플러스에 68억원의 과징금을 부과한 바 있다.

고송희 인턴기자 kosh1125@hankyung.com