[문답]개보위 "SKT 해킹으로 유출된 정보 25종, 당연히 개인정보"

작성일 08-28

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="qDZrPBkPZf">
 <figure class="figure_frm origin_fig" contents-hash="09820f10f21cda98aa8b400e898c3d6a7654a64dc55ac88e4cba8dca6b65e10b" dmcf-pid="Bw5mQbEQHV" dmcf-ptype="figure">
 <img alt="고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다./사진=뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/moneytoday/20250828154339216tkan.jpg" data-org-width="1200" dmcf-mid="zbWcVUaV14" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/moneytoday/20250828154339216tkan.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다./사진=뉴스1
 </figcaption>
 </figure>
 28일 개인정보보호위원회(개보위)가 SK텔레콤(이하 SKT) 유심 해킹 사고와 관련해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억9100만원, 과태료 960만원을 부과했다. 이하는 이에 관한 개보위의 일문일답이다.
 -만 4개월 정도로 통상적인 사건에 비해 조사 기간이 길었는데 이유가 무엇인가? ▶지난 4월22일 유출 신고 들어온 뒤, 바로 TF(태스크포스)팀 꾸려서 조사를 진행했다. 사람 숫자와 들인 시간을 일컬어 '맨아워'라는 표현 쓰는데, 정확하게 산출 어렵지만 다른 건에 비교할 수 없는 맨아워 투입됐다. 실제 현장 조사관이 몇 달간 상주하며 회사 내부에 어떤 상황 있었는지 구체적인 파악할 필요가 있었다.
 -지난 5월 개보위는 싱가포르로 정보 유출된 정황 있다고 했는데 국제 공조와 조사는 어떤 식으로 이루어지고 있나? ▶중요한 건 외국으로 나간 데이터가 싱가포르를 거쳐서 어디로 갔는지는 파악하는 것인데, 개보위가 직접 관여하는 건 아니다. 수사당국에서 후속 조사·수사를 하고 있다. 
 -유출된 정보 25종을 모두 개인정보 판단했는지, 그렇다면 그 근거는 무엇인지? ▶개보위는 유출 신고 들어왔을 때부터 당연하게 개인정보라고 판단했다. 유출된 정보 25종을 모두 열거한 다음에 이건 맞고 이건 아니라는 식으로 판단하는 것이 아니라, 25종을 전체적으로 개인정보라고 보는 것이다. 이용자들이 24시간 옆에 두고 있는 것이 휴대전화고, 휴대전화를 이용한 타인과의 소통을 통신사가 매개한다. 매개 역할의 가장 핵심인 유심 정보가 유출됐기 때문에 당연히 개인정보라고 판단했다.
 -이번 사고의 중대성 판단은 어떻게 결정한 건가? ▶중대성은 관련 고시에 4가지 카테고리를 고려해 판단하는데, 이 건은 '매우 중대함'으로 결정했다. △유출된 정보의 본질·성격 △2300만명이 넘는 이용자 정보가 유출됐다는 사실 △SKT가 지난 몇 년에 걸쳐 취약한 상태에 노출됐다는 점 등 고시 기준으로 여러 항목을 위반했다는 점을 봤다.
 -SKT는 그동안 CPO가 CISO를 겸직해왔는데, 그동안 각자 어떤 역할을 했나? ▶이 사건 발생 후에 SKT가 CPO(개인정보보호 최고책임자)와 CISO(정보보호 최고책임자)를 새로 영입하거나 선임하는 등 회사 내부 조직 개편을 일부 했다. SKT 조사 과정에서, 역할 상 CPO가 네트워크 인프라를 볼 수 있지만 현실에서는 제한되는 내부 관행이 있었음을 알게 됐다. 어떻게 더 효율적으로 회사 네트워크 전반을 볼 수 있는 체계 만들 것인가에 대해 고민 계속하고 있다. 앞으로 위원회랑 소통할 예정이다.
 -지난 27일 전체 회의에 참석한 SKT가 어떤 의견을 내놓았나? ▶어제 전까지 SKT는 굉장히 적극적으로 회사 입장을 소명하고, 문제상황 발생하긴 했지만 회사가 할 수 있는 상식적이고 합리적인 조치를 하기 위해 최선을 다했다는 점을 설명했다. 어제는 이와 다르게 '이번 사고에서 문제가 좀 있었고, 아쉽기도 하고 죄송하다'고 했다. 앞으로 위원회와 적극 소통하겠다는 의견도 밝혔다.
 -적은 액수가 아니다 보니 SKT가 행정소송에 나설 것으로 예상되는데 개보위의 입장은? ▶회사가 추후 소송할지 여부는 예단해서 말하기는 어렵다. 다만 조사·처분하는 과정에서 개보위가 조직 규모로 볼 때 이번 TF 규모가 이례적 컸다. 조사 전문가뿐 아니라 법률 회계 전문가 투입돼서 조사 전체 절차가 진행됐다. 그런 관점에서 개보위가 할 수 있는 역량을 최대한 발휘해서 꼼꼼히 진행됐다.
 -다음 달에 나온다는 '개인정보 안전관리체계 강화 종합대책'은 어떤 내용 포함되나? ▶추가적인 개인정보 보호 강화 조치할 경우에는 인센티브 제공해서 개인정보 보호 중요성 강조하는 현장 분위기를 유도하려고 한다. 지금까지 개인정보 업무를 하는 사람들은 조직 안에서 큰 역할 부여 못 받기도 하고 문제 상황에서 책임만 떠안는 경우도 많았는데, 당연히 책임이 더 늘어나야겠지만 책임에 걸맞은 권한 부여받고 예산 등 확보할 수 있는 방향으로 준비하겠다.
 -개보위는 유심 복제 가능하다고 본 것인가? ▶현재 SKT는 불가능하나 사고 전에는 가능했다. 이건 사고 이후 그전에는 일부 원하는 사람들만 적용받던 유심 보호 서비스를 대부분의 가입자가 적용받아서다. 추가로 회사가 금융 영역에서 주로 쓰던 FDS(이상거래탐지시스템)라는 이상 탐지 기술을 마련해서 적용하고, FDS 기술을 더 고도화하고 있다.
 -과거 구글과 메타와 달리, SKT는 허술함은 있었지만 외부에서 침투한 사건인데 더 큰 과징금이 나왔는데, 이유는? ▶고시에 과징금 산정 과정에서 1차 감경 요소로 경제적 이익을 취했는지 고려하게 돼 있다. SKT가 해킹 사고로 인해서 직접적 경제적 이득 취한 부분은 없기 때문에 그 점에서 감경된 면 있다. 하지만 투자가 충분히 이루어지지 않은 부분들도 있어서 그에 관한 문제의식을 개보위가 제기하고 반영했다.
 이찬종 기자 coldbell@mt.co.kr 김소연 기자 nicksy@mt.co.kr
 </section> 
 </div> 
 Copyright © 머니투데이 &amp; mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.

이전

올여름은 서막…앞으로 더 길고 강한 폭염·폭우 온다

08-28
다음

SKT 과징금, 구글의 '두 배'..."과도한 건 아닌지 기준 따져봐야"(종합)

08-28

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

[문답]개보위 "SKT 해킹으로 유출된 정보 25종, 당연히 개인정보"

멤버랭킹

관련자료

멤버랭킹