개인정보위, SKT 메인서버 해킹 공식 확인...기업 부인에도 "HSS는 메인서버 맞다".
개인정보보호위원회가 SK텔레콤의 메인서버 해킹 사실을 공식 확인했다. 최장혁 개인정보보호위원회 부위원장은 29일 서울 정부청사에서 진행된 4월 정례브리핑에서 "SK텔레콤의 메인서버에서 개인정보 유출이 있었다고 본다"며 "우리나라 1위 통신사의 메인서버가 해킹당했다는 자체가 굉장히 상징적"이라고 밝혔다.
이는 SK텔레콤이 해킹된 서버가 메인서버가 아니라고 주장한 것과 상반되는 발표다. 최 부위원장은 "SK텔레콤이 그걸(메인서버 정보 유출을) 왜 부정했는지 모르겠다"며 "메인서버에서 유출이 있었다고 보면 맞을 것 같다"고 재차 강조했다. 앞서 22일 SK텔레콤의 가입자 유심(USIM) 정보를 관리하는 '홈가입자서버(HSS)'가 해킹당했다는 보도가 나온 후 SK텔레콤은 해당 서버가 메인서버가 아니라고 선을 그었지만, 개인정보위가 이를 정면으로 반박한 것이다.
이번 발표는 국내 최대 통신사의 정보보안 체계에 심각한 허점이 있었음을 공식적으로 인정한 것으로, 정보보안 업계에 큰 파장을 일으킬 것으로 보인다. 개인정보위는 이미 지난 22일 SK텔레콤으로부터 정보 유출 정황을 신고받은 직후 사내 변호사 및 조사관, 외부 전문가 등으로 구성된 태스크포스(TF)를 가동해 집중 조사를 진행 중이다.
3종 서버 악성코드 감염, 유심 정보 25종 유출...정보 범위와 안전조치 미흡 여부 집중 조사.
과학기술정보통신부가 29일 발표한 민관합동조사단 1차 조사결과에 따르면, HSS를 포함한 SK텔레콤 서버 3종이 악성코드에 감염돼 유심 정보 25종이 유출된 것으로 확인됐다. 유심(USIM)에는 가입자의 전화번호와 통신 이용 정보, 인증 데이터 등 민감한 개인정보가 포함되어 있어 유출 시 2차 피해로 이어질 가능성이 높다.
최장혁 부위원장은 "유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다"며 "충분한 안전 조치가 조금 부족하지 않냐는 생각은 들지만 이제 조사를 해봐야 하는 상황"이라고 덧붙였다. 이는 SK텔레콤이 개인정보 보호를 위한 기술적, 관리적 조치가 미흡했을 가능성을 시사한 것이다.
보안 전문가들은 통신사의 홈가입자서버(HSS)가 해킹당한 것은 매우 심각한 보안 사고로, 가입자 정보 유출뿐만 아니라 통신 서비스의 안정성 자체를 위협할 수 있다는 우려를 제기하고 있다. 특히 SK텔레콤과 같은 대형 통신사의 경우 국가 기간망 역할을 하는 만큼 그 파급력이 더욱 크다는 지적이다. 정보보안 분야 A 교수는 "HSS는 단순한 데이터베이스가 아니라 통신망의 핵심 인프라로, 메인서버라고 부르는 것이 타당하다"고 설명했다.
메인서버에서 (개인 정보) 유출이 있었다고 본다. 우리나라 1위 통신사의 메인서버가 해킹당했다는 자체가 굉장히 상징적이다. SK텔레콤이 그걸(메인서버 정보 유출을) 왜 부정했는지 모르겠다.
개인정보보호법 개정 이후 대형 사고...LG유플러스보다 높은 과징금 예고.
개인정보위는 이번 사고에 대한 과징금이 2023년 7월 약 30만 건의 가입자 정보를 유출한 LG유플러스에 부과한 68억원보다 훨씬 높을 것이라고 예고했다. 최장혁 부위원장은 "기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것"이라며 "LG유플러스는 개인정보보호법 개정 전이었기에 (SK텔레콤의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다"고 강조했다.
개인정보보호법은 지난해 개정을 통해 과징금 부과 한도가 매출액의 3%에서 최대 5%로 상향되었다. 2024년 기준 SK텔레콤의 연결 매출액은 약 17조원에 달하는 만큼, 최대 과징금은 수백억원에 이를 수 있다. 다만 실제 과징금 부과는 위반 행위의 내용과 정도, 기간과 횟수, 피해 규모 등을 종합적으로 고려해 결정된다.
법률 전문가들은 이번 사건이 개인정보보호법 개정 이후 발생한 첫 대형 개인정보 유출 사고로, 향후 유사 사건에 대한 선례가 될 수 있다고 분석한다. 개인정보보호법 전문 B 변호사는 "개인정보 유출에 대한 처벌 수위가 전반적으로 높아지고 있는 상황에서, 이번 SK텔레콤 사례는 기업들의 정보보호 투자와 관리체계에 경종을 울리는 계기가 될 것"이라고 전망했다. 개인정보위의 최종 조사 결과와 제재 수위는 앞으로 몇 주 내에 발표될 것으로 예상된다.