개인정보 ‘2300만건 유출’ SKT, 중요정보 암호화…안전조치 강화

개인정보위, 시정조치 완료 여부 지속 모니터링

지난해 대규모 개인정보 유출 사태를 겪은 SK텔레콤이 개인정보보호위원회(개인정보위)에서 받은 시정명령을 대부분 이행한 것으로 14일 나타났다.

지난해 8월27일 서울 시내의 한 SK텔레콤 매장. 연합뉴스

 
개인정보위는 지난해 개인정보 유출 사고가 발생한 SK텔레콤 현장점검으로 구체적인 재발 방지 대책 수립·이행 여부를 검증했다며 이처럼 밝혔다.

앞서 개인정보위는 지난해 8월 SK텔레콤 해킹 사고를 조사한 결과, 이용자 2324만4649명의 휴대전화번호와 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출됐다고 발표했다.

지난해 조사처분 중 최대 규모를 기록한 SK텔레콤은 이동통신망 내 개인정보처리시스템 식별과 전수점검, 방화벽 정책 개선 등 조치를 이행했다.

유심 인증키와 중요정보 암호화 등 안전조치를 강화했고, 개인정보보호책임자가 IT·인프라 등 영역 제한 없이 개인정보 자산을 관리·감독할 수 있게 조직을 재정비했다.

다만, 엔드포인트 위협 탐지·대응(EDR) 설치와 인증범위 확대 등 조치는 완료되지 않아 추가 이행점검이 필요한 상황이다.

개인정보위는 지난해 하반기 처분 중 이행 기간이 도래한 총 222건의 시정명령·개선 권고·공표 명령 등 이행 실태를 점검했고, 그중 211건(약 95%)이 이행되거나 이행계획이 제출됐다고 전했다.

SK텔레콤과 인크루트, 경찰청·국민연금공단·한국장애인고용공단 등 공공기관, 네이버·카카오·쿠팡·우아한형제들·당근마켓 등 슈퍼앱, 쿠카엔터테인먼트·엘리베이트홍콩홀딩스 등 해외사업자가 해당했다.

해킹으로 회원 720만여명의 개인정보가 유출됐던 온라인 취업포털 인크루트는 추가 인증체계를 마련하고 비정상 트래픽 탐지를 위한 정책을 개선한 것으로 파악됐다.

쿠카엔터테인먼트와 엘리베이트홍콩홀딩스 등 해외 사업자는 법적 근거 없이 주민등록번호를 처리하지 않도록 내부 지침을 수정하고, 샘 올트먼 오픈AI 최고경영자(CEO)가 만든 생체인증 스타트업 풀스포휴머니티(TFH)는 아동 연령 확인 절차를 도입했다.

슈퍼앱 5곳은 서비스별 탈퇴·삭제를 가능하게 하고, 개인정보 처리정지·삭제 요구 절차를 알기 쉽게 안내하도록 조치했다.

개인정보위는 예산·시간 부족으로 이행되지 않은 시정조치의 완료 여부를 지속 모니터링할 방침이다.

김동환 기자 kimcharr@segye.com