- 개인정보위, SKT에 전 이용자 대상 신속 통지 지시
- 핵심 인증정보 포함된 유출에 “국민 생활에 중대한 영향 우려”
개인정보보호위원회(위원장 고학수)가 SK텔레콤(SKT)의 개인정보 유출 사고와 관련해 이용자 2,564만 명 전원에게 신속히 개별 통지할 것을 의결했다. 알뜰폰 가입자도 포함된 이번 조치는 모바일 시대에 개인을 식별하는 핵심 정보가 대규모로 유출됐다는 점에서 엄중하게 처리될 사안으로 평가된다.
개인정보위는 지난 2일 긴급 전체회의를 열고, 개인정보 유출 가능성이 있는 모든 이용자에게 빠르게 1차 통지를 시행하라고 SKT에 지시했다. 이에 따라 SKT는 지난 4월 18일 자정 기준 자사 전체 이용자 2,564만 명을 대상으로, 오는 5월 9일까지 우선 확인된 정보에 대한 유출 통지를 완료하겠다고 밝혔다.
현재까지 유출이 확인된 정보는 총 25종에 달한다. 유출된 정보에는 이용자의 휴대전화번호, IMSI(가입자식별번호), 유심 인증키, 기타 유심 관련 정보 등이 포함됐다. 이들 정보는 모두 SKT의 가입자 인증 시스템(HSS, Home Subscriber Server)에 저장되어 있던 것으로, 모바일 환경에서 사용자를 식별·연결하는 핵심 수단이라는 점에서 민감도가 매우 높은 개인정보다.
특히 개인정보위는 휴대전화번호가 보이스피싱이나 스미싱, 스팸 등 다양한 범죄에 악용될 수 있다는 점을 우려했다. IMSI와 유심 인증키의 유출은 단순한 정보 노출을 넘어, 휴대폰 인증을 기반으로 한 금융거래, 정부 서비스 이용 등 국민의 일상생활 전반에 심각한 영향을 줄 수 있다고 강조했다.
이번 사고는 단순한 기술적 실수 이상의 구조적 보안 문제로 이어질 가능성도 있다. 개인정보위는 현재 SKT 내부의 개인정보 처리 시스템 전반에 대한 전수조사를 진행 중이다. 특히 사고의 경로가 된 핵심 시스템에 기본적인 보안 프로그램(백신)이 설치되어 있지 않았던 사실을 확인했으며, 이는 개인정보보호법이 정한 기술적·관리적 보호조치 의무를 위반한 것으로 판단하고 있다.
조사 대상에는 HSS 서버 외에도, 음성통화 및 과금 관련 시스템(WCDR), 개통 및 인증 시스템 등 SKT의 주요 개인정보 처리 인프라가 포함된다. 개인정보위는 현재까지 시행된 SKT의 재발방지 대책의 실효성도 점검 중이며, 추가적인 피해 확산을 막기 위해 향후 철저한 후속 조치를 이어갈 방침이다.
이번 유출 사고는 국민 대다수의 휴대폰 인증 기반 개인정보가 구조적으로 취약할 수 있다는 점을 드러낸 사례로, 유사한 사고 예방을 위한 이동통신사 전체의 보안 시스템 강화와 감독당국의 면밀한 점검이 필요하다는 목소리가 커지고 있다.
