개인정보위 "SKT 해킹, LG유플과 차원 달라…엄중 책임 물을 것"

"베테랑 조사관 투입…빠른 조사로 국민 불안 덜 것"
과징금, 연간매출 최대 3% 부과 가능…조사 후 확정

개인정보보호위원회가 SK텔레콤(SKT)의 유심(USIM) 정보 해킹사고와 관련, 엄중한 책임을 묻겠다는 입장을 내놨다. 개인정보위는 SKT로부터 신고를 받은 직후부터 조사를 진행하고 있다.

최장혁 개인정보위 부위원장은 29일 오후 서울 종로구 정부서울청사에서 진행된 기자단 정례브리핑에서 "대규모 개인정보 유출 사건에 대해서는 글로벌과 국내 기업을 가리지 않고 엄중한 책임을 물을 생각"이라고 말했다.

개인정보위에 따르면 위원회는 지난 22일 오전 10시 SKT로부터 개인정보 유출 신고를 받은 즉시 조사에 착수했다. 유출 신고를 접수받은 당일 조사에 들어가는 건 이례적이라는 게 위원회의 설명이다. 최 부위원장은 "사내 변호사를 포함해 베테랑 조사관들을 조사에 투입하는 동시에 외부 전문가들과 관련 태스크포스(TF)를 구성했다"면서 "최대한 빠른 시일 내 조사를 완결해 국민들의 불안을 덜겠다"고 말했다.

개인정보위는 현재 이번 사고에서 유출된 개인정보의 범위와 SKT 서버의 보안을 조사하고 있다. 그는 "현재는 (유출된) 유심 정보에 담긴 개인정보성 내용과 유심 정보를 보관하는 메인서버의 안전조치를 중점적으로 보고 있다"고 설명했다.

과거 발생했던 이동통신사들의 개인정보 유출 사고와 비교해 SKT 사고의 심각성이 크다는 발언도 나왔다. 이에 따라 과징금의 규모 역시 과거 사례보다 커질 것으로 보인다. 최 부위원장은 "이번 사고는 LG유플러스 유출 사고와는 차원이 다르다"면서 "SKT는 메인 서버가 해킹당했고, LG유플러스는 부가서비스 서버가 해킹당했다. 당시는 개인정보보호법 개정 전이어서 과징금 산정 기준도 다르다"고 설명했다.

LG유플러스는 2023년 1월 해킹 공격으로 약 30만건의 고객 정보가 유출됐다. 이후 개인정보위는 LG유플러스에 과징금 68억원과 과태료 2700만원을 부과했다. 당시 개인정보법은 관련 사업 매출의 최대 3%를 과징금으로 매길 수 있었지만, 현재는 법 개정으로 전체 매출의 3%까지 과징금 부과가 가능하다.

다만 구체적인 과징금 산정까지는 조사에 따라 시일이 소요될 것으로 보인다. 최 부위원장은 "유출사고과 무관한 매출을 과징금 산정에서 제외하고, 조사 협력 여부처럼 일부 감경 사유도 있다"면서 "지금 과징금을 추산하기는 너무 이르다"고 했다.

과징금 산정의 주요 요소인 안전성 확보 조치와 관련해 SKT 측의 조치가 소홀하지 않았냐는 취지의 발언도 내놨다. 최 부위원장은 "우리나라의 1위 통신사 메인 서버가 해킹당했다는 게 상징적"이라며 "외관상으로는 충분한 조치가 부족했다는 생각은 들지만 조사해봐야 하는 상황"이라고 했다.

해킹으로 유출된 가입자 유심 정보가 다크웹(특정 프로그램을 사용해야 접속할 수 있는 폐쇄형 웹사이트) 등에 노출됐는지도 확인하고 있다. 이정은 개인정보위 조사2과장은 "한국인터넷진흥원과 함께 다크웹을 모니터링해 개인정보 유출이 확인되면 신고·통지하는 절차를 마련해 운영 중"이라며 "이번 SKT 유출 사고와 관련된 데이터가 다크웹에 올라오진 않았다"고 설명했다.

한편, 중국의 생성형 인공지능(AI) 서비스 '딥시크'가 전날 국내 앱 마켓에서 다운로드 서비스를 재개한 것과 관련해 최 부위원장은 "90일 이내에 딥시크 측이 시정조치를 이행했는지 점검할 계획"이라며 "개인정보 처리방침 개정 전 딥시크로 넘어간 국내 이용자들의 정보에 대해서는 파기했다는 답을 받았다"고 말했다.

이명환 기자 lifehwan@asiae.co.kr