개인정보보호위원회가 SK텔레콤(SKT) 유심(USIM) 해킹 사태를 계기로 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 의무화를 검토한다. 또 실질적인 피해 회복과 과징금 감면 연계, 단말기 고유식별변호(IMEI)와 같은 주요 식별정보 유출 시 강도 높은 처분 기준 마련 등 안전관리 체계 강화 방안을 논의한다.

고학수 개인정보보호위원장은 21일 서울 중구 은행연합회에서 열린 '2025 개인정보 정책포럼'에서 기자간담회를 열고 이같은 대응 계획을 공개했다. 고 위원장은 "ISMS-P는 데이터 관리 시스템을 두고 있는지 평가하는 것이기 때문에 침해 방지 시스템까지 포괄적으로 보도록 개선하는 방향도 생각 중"이라며 "(ISMS-P의무화와 평가 범위 변경은) 법률 개정까지 필요한 사안이라 구체적인 논의를 이어갈 예정"이라고 말했다.

현재 SKT를 포함해 대규모 개인정보를 관리하는 기업·기관은 ISMS(정보보호 관리체계 인증)를 의무적으로 받아야 한다. ISMS-P는 자율적인 참여 사항이다. ISMS는 해킹·내부자의 정보 유출 사고 예방과 대응, 재해 복구 등 80여개 항목을 평가한다. ISMS-P는 개인정보보호 항목 21개를 추가로 담았다. 개인정보위는 과학기술정보통신부와 함께 이 인증을 관리한다.

다만 고 위원장은 "ISMS-P 심사를 받았다고 해당 기업의 정보보호 시스템 전반이 완벽하다고 볼 수 없다"고 덧붙였다. ISMS-P 의무화로 개인정보 보호 체계를 강화할 수 있지만, 모든 위험 요소를 해소하는 것은 아니라는 설명이다. SKT도 이동통신서비스 인프라 운용, 고객관리 서비스 등으로 ISMS 인증 2개와 ISMS-P 인증 1개를 취득했기 때문이다.

개인정보위는 정보주체의 권리 구제를 실현하기 위해 피해보상 등 구체적인 피해 회복 노력과 과징금 감면 연계를 검토한다. 현재 개인정보위는 개인정보 유출 사고 발생 시 개인정보보호법 위반 여부를 판단해 과징금을 부과한다. 이렇게 납부된 돈은 국고로 귀속된다. 이를 두고 개인정보 유출·침해 피해자가 피부로 느낄 수 있는 보상과 거리가 멀다는 목소리가 나왔다. 개인정보위는 과징금 규모 산정 시 피해 보상을 고려하면 비교적 적극적인 피해 회복 노력을 유도할 수 있다는 판단이다.

개인정보위는 IMEI 등 주요 식별 정보 유출 시 과징금 부과와 시정조치 등 제재 강도를 높이는 방안도 논의한다. 이날 정책포럼에서 강대현 개인정보위 조사총괄과 과장은 "주민등록번호를 유출하면 강도 높은 처분을 내리는데, 주요 식별 정보도 이에 준하는 엄정 처분을 내려야 한다는 논의가 나온다"고 말했다. SKT 유심 해킹으로 인한 유출 가능성이 높아진 IMEI는 복제폰을 만든 뒤 금융 자산을 탈취하는 심스와핑 범죄에 악용될 수 있다. 이 때문에 주요 식별 정보 유출로 인한 이용자의 불안이 커진 상황이다.

개인정보위는 전문화되는 해킹에 대응하기 위한 개인정보 기술분석센터 신설도 논의한다.

이날 고 위원장은 이러한 개인정보 안전관리 체계 강화 논의가 나온 배경으로 SKT 유심 해킹 사태의 심각성을 강조했다. 그는 "역대 최대 규모 해킹 사건으로 기록될 것"이라며 "웹쉘 공격을 3년 동안 몰랐다는 것은 문제의 심각성을 보여주는 방증"이라고 평가했다. 웹쉘은 홈페이지 취약점을 악용해 내부공간에 악성코드를 심고 개인정보를 탈취하는 공격이다. 이달 19일 과기정통부가 발표한 2차 조사 결과에서 해커가 3년 전에 SKT 서버에 해킹 프로그램을 설치한 것으로 드러났다.

고 위원장은 SKT의 해킹 사고 인지 뒤 대응 방식에 관해서도 유감을 표시했다. 고 위원장은 "SKT에 이용자 대상 개인정보 유출 피해 통지가 미흡했다고 지적한 공문을 보냈다"며 "나중에 과징금 산정할 때 (미흡한 통지 방식을)고려할 것"이라고 말했다. SKT는 이달 9일 개인정보위 심의·의결에 따라 이용자에게 '개인정보 유출 가능성 통지' 문자 메시지를 발송했다.

이 메시지에서 SKT는 "유출 가능성이 있는 정보는 가입자 전화번호, 가입자 식별번호(ISMI), 유심 인증키 등 유심 관련 정보 4종과 유심 정보 처리 등에 필요한 회사 내부 관리용 정보 21종"이라고 설명했다. 이어 "고객님의 개인정보 유출 여부가 확인될 경우 정확한 유출 경위, 항목, 추가 조치 사항 등을 안내하겠다"고 덧붙였다.

이에 관해 고 위원장은 "나중에 유출 가능성이 진실이 되면 알리겠다는 식으로 소극적으로 임했다"고 지적했다.

개인정보위는 SKT 유심 해킹 사태와 관련해 '집중조사 테스크포스(TF)'를 구성하고 개인정보보호법에 따라 피해 상황을 조사 중이다. 고 위원장은 "매주 1회 TF 정기 회의를 주재하고, 수시 회의를 열고 있다"며 "위원회 역량을 최대한 동원하겠다"고 말했다.

한편 SKT는 이번 유심 정보 유출로 인한 가입자들의 피해를 최소화하기 위해 총력을 기울이고 있다. 기존 비정상인증차단시스템(FDS)의 기능을 고도화해 불법 복제폰 접근까지 차단 가능한 업그레이드 솔루션을 이달 18일부터 통신망에 추가 적용했다. 이는 최근 유심보호서비스 업그레이드에 이은 고객 보호 강화조치다. SKT는 이번 조치로 불법유심복제는 물론 불법 복제폰으로 인한 해킹 피해까지 차단할 수 있다고 강조했다. 회사는 유심 재고물량을 최대한 확보하면서 유심재설정에 이어 찾아가는 서비스까지 시작하며 유심 교체에 속도를 내고 있다.

윤상은 기자