고학수 개보위원장, 은행회관서 정례브리핑…SKT 유심정보 사고 조사 내용 공유
통합고객시스템(ICAS)도 감염…이름·생년월일·주소 등 중요 개인정보 포함
고학수 위원장 "역대급 사고…개인정보 유출로 이용자 피해는 이미 발생"
고학수 개인정보위원장이 21일 서울 중구 은행회관에서 열린 정례브리핑에서 기자들 질의에 답하고 있다(사진=개인정보위 제공) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = SK텔레콤 유심정보 유출 사고를 조사 중인 개인정보보호위원회가 이번 사안을 엄정 조사하고 강경 대응하겠다는 방침을 밝혔다.
해커의 침입으로 악성코드가 감염된 서버에 이름, 생년월일, 주소, 단말식별번호(IMEI), 가입자식별번호(IMSI) 등 고객의 주요 개인정보가 포함된 만큼, 개인정보위는 이번 사고를 '역대급 수준'의 중대한 사건으로 판단하고 있다. 사고 규모와 성격을 고려할 때 사상 최대 규모의 과징금도 불가피할 것으로 보인다.
고학수 개인정보위원장은 21일 서울 중구 은행회관에서 정례브리핑을 갖고 지난달 발생한 SK텔레콤 개인정보 유출사고 관련, 현재까지 조사 상황과 향후 대응 방향에 대해 설명했다.
개인정보위는 SK텔레콤 측이 개인정보유출 정황을 신고한 지난달 22일 당일 조사에 착수했고 '집중조사 TF'를 구성해 관련법에 따라 조사를 진행 중이다. 개인정보위는 개인정보 유출 대상 및 피해 규모의 확정과 사업자의 관련법상 안전조치 의무(기술적·관리적 조치 포함) 위반을 확인하고 있다.
이 조사 과정에서 개인정보위는 기존 유출경로로 확인된 가입자인증시스템(HSS) 등 5대 외에도, 통합고객시스템(ICAS) 서버 2대를 포함 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다.
ICAS(Intergrated Customer Authentication System)는 티월드 등 SK텔레콤 내부 시스템과 사전 인가된 협력사를 대상으로 가입자의 가입 상태, 개인정보 및 가입 상품 정보를 조회할 수 있는 애플리케이션 프로그래밍 인터페이스(API)를 제공하는 시스템이다.
해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI, IMSI 등 고객의 중요 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장돼 있는 것으로 알려졌다.
이에 대해 고학수 위원장은 "일반적인 상식으로 보더라도 민감성이 높은 정보들이 상당수 포함된 상황"이라며 "이 서버가 악성코드에 감염된 사실이 확인됐고, 현재 해커가 해당 데이터를 실제로 어떤 방식으로 사용했는지는 조사 중"이라고 말했다.
이어 "아직 조사가 마무리되지 않아 구체적으로 언급하기는 어렵지만, 민감한 정보를 담고 있는 서버가 악성코드에 감염됐다는 것 자체만으로도 매우 불안한 상황임은 분명하다"고 말했다.
3년 동안 해커 침입 모르고 있어 '심각'…소극적인 이용자 안내도 '유감'
최근 SK텔레콤 침해사고 민관합동조사단은 SK텔레콤의 리눅스 서버 약 3만여대에 대해 4차례 점검을 진행했고 이를 통해 총 23대의 서버가 악성코드에 감염됐음을 확인했다. 특히 시스템 내부에서 주요 정보를 빼내는 데는 BPF도어 프로그램을 썼고, 서버에 침투할 때는 웹셸 악성코드를 사용한 것으로 밝혀졌다. 최초 침투시점은 2022년 6월로 추정된다.
고 위원장은 "초기에는 BPF백도어 계열의 악성코드 변종들이 여러 군데에서 발견됐고, 이로 인해 점점 더 많은 서버에 영향을 줄 가능성도 제기되고 있다"면서 "아울러 심각하게 받아들여야 할 점은, 최근 웹셸 공격이 있었던 사실이 추가로 확인됐다는 것"이라고 설명했다.
이어 "장기간에 걸쳐 악성코드가 침투해 있었지만 아무도 알아차리지 못했다는 점은, 보안 체계에 대한 근본적인 우려를 불러일으키는 요소"라고 말했다.
한편으로 고학수 위원장은 사고 발생 이후, SK텔레콤이 이용자들에게 적극적으로 개인정보 유출 안내를 취하지 않은 것에 대해 '유감'이라며 강한 어조로 지적했다.
고 위원장은 "SK텔레콤 유출 통지와 관련해, 위원회는 이달 2일에 통지하도록 의결했고, 이후 9일까지 통지를 완료하도록 요청했다"면서 "마감기한까지 통지가 이뤄지긴 했지만 개인적으로 매우 유감스럽게 생각한다"고 말했다.
이어 "무엇보다 해당 시점까지 통지가 이뤄지지 않은 것 자체가 큰 문제였다"면서 "게다가 통지 내용 역시 '유출 가능성에 대해 추후 조사 결과에 따라 추가로 알리겠다'는 식으로 표현돼 있었는데, 이는 몇 주가 지난 시점에서조차 명확한 조사를 마치지 못했다는 인상을 준다"고 말했다.
고 위원장은 "이처럼 기업 내부적으로도 상황을 충분히 파악하지 못하고 있는 듯한 내용은 이 정도 규모의 회사로서는 매우 미흡한 대응이라고 판단된다"고 말했다.
국민 피해는 이미 발생…피해 입증하란 것은 어불성설
고 위원장은 "이번 사고로 이미 엄청난 국민적 피해가 발생했다"면서 "사용자가 피해를 증명해야 한다는 식의 발언이 나오는데, 이미 피해는 발생한 것"이라고 말했다. 이어 "앞으로 발생할 수 있는 피해를 어떤 식으로 대응할 것인지, 이것을 이제 계속해서 고민해야 되는 상황"이라고 말했다.
◎공감언론 뉴시스 [email protected]
