SKT, 9일까지 2564만 이용자에 1차 유출통지...개인정보위 의결 따라

국무총리 직속 개인정보보호위원회가 8일 "SK텔레콤(SKT) 측이 알뜰폰을 포함해 SKT 전체 이용자 2564만명에 대해 9일까지 우선 확인된 (개인정보 유출) 사항을 중심으로 1차 유출통지를 하겠다고 알려왔다"고 밝혔다.

앞서 개인정보위는 지난 2일 긴급 전체회의를 열어 SKT에 개인정보보호법에 따라 개인정보 유출 가능성이 있는 모든 이용자를 대상으로 신속히 개별 통지하도록 의결한 바 있다.

개인정보위에 따르면 현재까지 SKT에서 유출이 확인된 이용자 개인정보는 가입자인증시스템(HSS)에 저장돼 있던 휴대전화번호와 가입자식별번호(IMSI), 유심 인증기 및 기타 유심 관련 정보 등 총 25종이다. 

특히 휴대전화번호의 경우 정보주체인 이용자를 직접 대상으로 한 보이스피싱·스미싱·스팸 등에 악용될 우려가 있다. 또 인증에 필요한 IMSI 및 유심 인증키 유출은 휴대전화를 통한 각종 서비스의 본인 인증이 일상화된 상황에서 국민의 일상생활에 중대한 영향을 미칠 수 있다고 개인정보위는 설명했다.

이에 더해 개인정보위는 SKT 내 개인정보 처리 개별 시스템에 대한 전수조사를 실시하고 있다고 밝혔다.

1차로 침해사고가 있었던 음성통화 관련 HSS 서버 및 과금 관련 WCDR 서버 외 휴대전화 개통 시스템, 인증 시스템, 과금 시스템 등 주요 개인정보처리시스템을 대상으로 보호법상 안전조치의무 준수 여부에 대한 전수조사를 벌이고 있다.

개인정보위는 또 유출 경로가 된 주요 시스템에 악성프로그램 방지를 위한 보안프로그램(백신)이 설치되지 않았던 점을 확인했고, 이는 개인정보 관련 기본적인 기술적·관리적 조치가 미흡한 것으로 보고 있다.

이에 사고 이후 긴급 시행된 재발방지 대책의 실효성을 면밀히 점검해 추가적인 개인정보 유출 피해 예방에 힘을 쏟고 있다고 밝혔다.

한편 SKT 해킹 민관 합동조사단은 8일 최민희 국회 과학기술정보통신위원장에게 제출한 자료를 통해 SKT 서버 해킹 사건의 취약점으로 의심됐던 이반티의 VPN(가상사설망) 장비를 SK텔레콤이 4월 초부터 사용하지 않았다고 밝혔다. 

한국인터넷진흥원(KISA)이 지난달 초에 낸 사이버 보안 공지를 참고해 이반티 VPN의 전원을 끄고 다른 장비로 교체 완료했다는 설명이다. KISA뿐 아니라 SK그룹 보안 관련 계열사인 SK쉴더스도 해커가 VPN 취약점을 통해 해킹 공격에 성공할 경우 기업·기관의 네트워크에 접근할 가능성에 대해 경고한 바 있다.

SKT도 이날 국회 과학기술정보통신위원회에 제출한 자료를 통해 유심 관련 핵심 서버 등이 있는 주요 통신국사는 서울 성수국사와 대전 둔산국사이며 2개의 국사가 상호 보완(백업)하는 방식이라고 설명했다.

가입자 인증키 저장은 둔산국사, 서울 보라매국사, 분당국사에서 하고 1개 국사에서 문제가 있을 경우 나머지 2개 국사에서 보완하는 체계다.