개보위원장 "SKT 유출, 역대급 사건…복제폰이 아니더라도 2차 피해 가능"

고학수 개인정보보호위원회 위원장이 5월 21일 오후 서울 중구 은행회관에서 개최된 개인정보 정책포럼에서 개회사를 하고 있다.ⓒ개인정보보호위원회

고학수 개인정보보호위원회 위원장은 21일 SK텔레콤 개인정보 유출 사고에 대해 "역대급 사건"이라며 "경각심을 갖고 심각하게 사안을 들여다보고 있다"고 밝혔다.

고 위원장은 이날 서울 중구 은행회관에서 개인정보위와 한국CPO(개인정보보호책임자)협의회가 공동 주관한 개인정보 정책포럼에서 기자들과 만나 "이미 피해는 어마어마하게 발생했다"며 이같이 말했다.

그는 "추가 피해를 어떻게 방지하고 대응할 것인지 지금부터 계속 고민해야 한다. (SKT가) 어떤 점에서 의무를 잘 지키지 못했는지 상황을 보고 있다"고도 언급했다.

이번 사고에서 유출된 개인정보가 다크웹에 유통됐는지에 대해서는 "다크웹에서 발견된 것은 없다"면서도 "대규모 DB일수록 일부만 쪼개 다른 형태로 조합해 유통시킬 경우 모니터링이 어렵다"고 답했다.

최초 악성코드가 생성된 2022년 6월 이후 3년간 해커 침입을 SKT가 몰랐다는 것도 문제 삼았다.

고 위원장은 "웹셸 공격을 3년이 되도록 몰랐다는 것은 문제의 심각성을 반증한다. 이것을 모른 채 방치돼있었다는 게 여러 우려를 낳는다"고 말했다. 이어 "분쟁과 관련해 최근에 100명의 조정 신청이 분쟁조정위를 통해 들어왔다. 50명 이상이면 집단 대상이다. 절차에 맞춰 진행하겠다"고 설명했다.

SKT의 서버 방화벽 로그가 약 2년간 남아있지 않다는 지적에는 "접근 통제와 방화벽 관리에 해당하는 부분을 구별해서 봐야 한다"면서 "로그 기록 여부에 대한 시스템 분석도 필요하지만 더 넓게는 침해 탐지와 맞닿아 있어 내부 분석이 더 필요하다"고 언급했다.

고 위원장은 SKT가 이용자들에게 개인정보 유출 사실을 통지한 시점과 내용에 대해서도 비판했다.

고 위원장은 "(SKT의) 유출 통지는 저희가 5월 2일 의결하고, 9일 (SKT의) 통지가 되긴 했으나 굉장히 유감이 많다"며 "통지내역에 '유출 가능성을 추후 알리겠다'고 한 표현이 있는 데 이렇게 큰 회사가 몇 주 지났는데도 조사를 스스로 하고 있다는 식으로, 진실이 밝혀지면 알리겠다는 식으로 회사 내부적으로 파악이 안된것 같은 내용이 담겨 있었다"고 지적했다.

그러면서 "법에서 요구하는 통지 내용에 부합하지 않은 것이 있었다. 제대로 된 통지가 아니라고 판단했고, SKT 측에 통지가 미흡했다는 내용의 공문을 보냈다"고 했다.

해킹 사태 관련 징벌적 손해배상에 대해서는 위원회 차원에서 고민하고 있다고 밝혔다. 고 위원장은 "개인정보보호법에 조항이 있지만, 법원에서 그 조항을 어떻게 해석하고 볼지 관례를 보면 소비자 눈높이에는 아쉬울 수 있다"며 "제도 개선 맥락에서 어떻게 개개인 피해자에 실효성 있는 구제방안을 마련할지는 추가 논의해 구체화하겠다"고 말했다.

과징금에 대해서는 지금 시점에서는 가늠하기 어렵지만 LG유플러스 사례와는 성격이 다르다고 말했다.

그는 "2차 피해(여부)는 당연히 모니터링하고 있다. 어마어마한 피해는 이미 발생했다"며 "2차 피해가 생겨야 진짜 피해가 생긴 것처럼 말하는 것은 잘못된 것이고, 복제폰이 아니더라도 2차 피해 가능성이 있다. 다른 가능성을 고려해서 할 예정"이라고 말했다.

이어 "구체적 액수가 어느 정도 될지는 지금 시점에서는 가늠하기 어렵다"면서도 "과거 LG유플러스 사례와는 전혀 다른 상황"이라고 덧붙였다.

앞서 고 위원장은 이날 행사 개회사에서 "SKT 개인정보 유출 사고는 디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 매우 중대한 사건"이라며 "개인정보위는 철저하고 엄정한 조사를 통해 사고원인을 면밀히 규명하고 법 위반 사항에 대해 강력하게 제재할 것"이라고 강조했다.

그는 "약 2500만 명의 가입자를 보유한 SKT의 개인정보 유출 사고가 발생해 국민들의 우려가 대단히 큰 상황"이라며 "이번 사건을 계기로 공공과 민간이 함께 우리 사회 전반의 개인정보 안전관리 체계를 강화해 나갈 필요가 있다"고 당부했다.

개인정보위는 SKT로부터 유출이 신고된 지난달 22일부터 사안의 중대성을 고려해 TF를 구성해 조사에 착수했다. 이달 2일에는 긴급 전체회의를 열어 SKT가 개별 이용자에게 유출 사실을 통지할 것을 의결하기도 했다.