|
고학수 개인정보위 위원장은 21일 서울 중구 은행회관에서 열린 ‘개인정보 정책포럼’에서 기자들과 만나 이 같은 조사 현황을 공유했다.
고 위원장은 “정확한 해킹 배후와 원인을 파악하기는 어렵지만, 이번 사안은 HSS에 있던 정보가 과금정보 관리서버(WCDR)를 거쳐 싱가포르 인터넷주소(IP)로 넘어간 흔적이 있었다”고 말했다. 이어 “해당 IP 주소가 누구의 주소인지, 이 주소를 누가 통제하는지에 대해선 파악이 쉽지 않은 상태”라며 “국제 공조도 필요한 상황이며 (조사 결과 발표까지는) 시간이 더 걸릴 것”이라고 덧붙였다.
민관합동조사단에 따르면 SK텔레콤에 악성코드가 최초로 서버에 설치된 시점은 2022년이며, 총 23대의 서버에서 악성코드 25종이 발견됐다. 확인된 악성코드는 웹셸 1종을 제외하면 모두 BPF도어 계열인 것으로 조사됐다. 유출된 유심정보의 규모는 9.82기가바이트(GB), 가입자식별키(IMSI) 기준 2695만7749건 정도다.
고 위원장은 최근 통합고객인증서버(ICAS)에서 웹셸 공격 정황이 추가로 밝혀진 점에 대해서도 “3년간 이상 징후를 포착하지 못한 건 중대한 문제”라며 “기술적 분석과 조사 역시 민관 협조 하에 진행 중”이라고 했다.
SK텔레콤이 지난 9일 전체 이용자에게 보낸 해킹 관련 안내 문자도 “시기가 늦었고 내용도 미흡했다”는 지적이다. 해당 조치는 개인정보위의 의결 권고에 따른 것이지만, 문자 내용이 부실했다는 것이다. 고 위원장은 “(SK텔레콤의 안내 문자가) 개인정보보호법에서 요구하는 통지 내용에 부합하지 않은 부분이 있었다”면서 “제대로 된 통지가 아니라고 판단해 위원회가 SK텔레콤에 통지 미흡과 관련된 공문을 보냈다”고 했다. 문자 공지의 부실함은 향후 과징금 산정 시 불리하게 작용할 수 있다는 설명이다.
고 위원장은 SK텔레콤에 부과될 과징금 규모와 관련 “과징금 산정은 마지막 단계에 가서야 이뤄질 것”이라면서도 “전체 상황이 종료되는 과정에서 문자 통지도 다시 감안, 처분 과정에서 고려하겠다”고 말했다.
|