⁠⁠⁠⁠⁠⁠⁠

고학수 개인정보보호위원회 위원장이 21일 서울 중구 은행회관에서 개인정보 정책포럼과 함께 개최한 기자간담회에서 인사말하고 있다. 팽동현 기자

"이미 피해는 크게 발생했다. 복제폰 같은 2차 피해만 진짜 피해가 아니다. 추가 피해 방지를 위해 안전조치 의무 준수 여부를 중점적으로 살피겠다."

개인정보보호위원회(개인정보위)가 21일 개인정보 정책포럼과 함께 개최한 기자간담회에서 고학수 개인정보보호위원장은 SK텔레콤(SKT) 해킹 사고에 대해 "역대급 사건"이라며 이같이 밝혔다. 이미 SKT 가입자를 비롯해 많은 국민이 불편을 겪게 했다는 의미다.

개인정보위는 SKT의 유심정보가 유출된 가입자인증시스템(HSS) 서버와 악성모드 감염이 추가로 밝혀진 통합고객시스템(ICAS) 서버 모두 개인정보 처리 시스템이라 보고 있다. 태스크포스(TF)를 꾸려 과기정통부와 별도로 조사·분석을 진행하고 있다.

고 위원장은 "SKT는 가입고객 대상으로 개인정보 유출 사실 통지부터 늦었고 그 내용까지 부실했다"며 "(탐지가 어려운) BPF도어뿐 아니라 웹셸 같은 (비교적 흔한) 공격도 3년이 되도록 몰랐다는 것도 문제"라고 짚었다.

개인정보위도 아직 다크웹 등에서 유출된 정보를 발견하진 않았다. 다만, 고위원장은 "워낙 대규모라 그 중 일부만, 또는 다른 형태로 결합해 유통한다면 모니터링하기 쉽지 않다"며 "많이 언급되는 복제폰이 아니더라도 다양한 형태로 2차 피해 가능성이 있으므로 대비가 필요하다"고 말했다.

개인정보위 TF에선 조사뿐 아니라 제도 개선을 위한 논의도 진행하고 있다. 그동안 시스템 관리 수준에 초점을 맞춘 정보보호관리체계(ISMS) 인증에 침해 대응 역량 평가를 추가하는 것과, 이미 규정은 있지만 국민 눈높이만큼 활용되진 못하고 있는 징벌적 손해배상 등이 포함된다.

고 위원장은 "아직 조사 중이므로 과징금 액수에 대해 거론하긴 시기상조다. 다만, 과거 LG유플러스(LGU+) 때와는 차원이 다를 것"이라며 "아쉽게도 이번 SKT 건엔 활용 못하겠지만 현재 진행 중인 포렌식랩 구축이 완료되면 좀 더 신속한 조사·분석이 가능해질 것"이라 덧붙였다

한편 이날 개인정보위와 한국개인정보보호책임자협의회가 공동 개최한 개인정보 정책포럼은 대규모 개인정보 유출사고에 대한 국민 우려가 커지는 가운데 정부와 주요 산업별 개인정보보호책임자(CPO)들이 함께 개인정보를 안전하게 관리하기 위한 방안·해법을 찾기 위해 마련했다. 산·학·관 개인정보 관계자와 일반국민 200여명이 참석했다.

염흥열 한국CPO협의회장은 "개인정보 보호의 중요성에 대한 인식이 국가적으로 확산되고 있는 상황에서 협의회는 현장의 고민과 해법을 함께 나누는 소통창구로서 정책당국과의 협력을 위해 더욱 노력하겠다"고 전했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.