사진:개보위

[대한경제=심화영 기자] 개인정보보호위원회(위원장 고학수)가 10일 KT와 LG유플러스를 대상으로 개인정보 유출 의혹에 대한 공식 조사에 착수했다. 지난달 SK텔레콤의 대규모 유심 해킹 사건에 과징금 1347억9100만원을 부과한 데 이어, 국내 주요 이동통신 3사 모두가 개인정보 보호 위기에 직면한 모양새다.

개보위는 이날 “KT와 LG유플러스에서 별도의 개인정보 유출 신고는 접수되지 않았지만, 시민단체 조사 요청과 소액결제 피해자의 침해 신고가 이어지고 있다”며 “해외 보안 전문 매체에서 두 회사의 해킹 정황을 보도한 점 등을 종합해 법적 조사 권한을 가동하기로 했다”고 밝혔다. 이번 조사는 사건 발생 경위와 실제 개인정보 유출 여부를 집중적으로 확인하는 데 초점을 맞춘다.

앞서 미국 보안 전문지 ‘프랙(Phrack)’은 KT와 LGU+의 시스템 해킹 정황을 공개했다. 동시에 KT 일부 이용자들을 상대로 본인 동의 없는 소액결제가 발생하면서 통신망 및 개인정보 관리 부실 우려가 커졌다. 개인정보위는 언론 보도ㆍ유관기관 정보공유ㆍ기업 측 면담 등을 통해 기초 사실관계를 확인해 왔으며, 이번에 공식 조사에 돌입했다.

이번 조치는 SK텔레콤 사건과도 맞물린다. 개보위는 지난달 27일 전체회의에서 SK텔레콤의 유심 해킹 사고와 관련해 과징금 1347억9100만원, 과태료 960만원을 부과하는 제재안을 의결했다. 단일 기업에 부과된 과징금으로는 역대 최대 규모다. 조사 결과, SK텔레콤 LTEㆍ5G 서비스 이용자 2324만4649명(알뜰폰 포함ㆍ중복제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.

해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했다. 이어 2022년 6월 통합고객인증시스템(ICAS) 내에 추가 거점을 확보했고, 올해 4월18일 홈가입자서버(HSS) DB에 저장된 9.82GB 규모 이용자 개인정보를 외부로 유출했다. 개인정보위는 SK텔레콤의 보안 조치 미비와 관리 소홀을 지적하며, △인터넷ㆍ내부망 보안운영 환경 취약 △침입탐지 시스템 이상행위 로그 미확인 △불법 유출 시도 탐지ㆍ대응 소홀 등을 문제로 꼽았다.

위원회는 이번 조사 결과를 토대로 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하도록 시정명령했다.

고학수 위원장은 “이번 사건들을 계기로 대규모 개인정보를 보유ㆍ처리하는 사업자들이 관련 예산과 인력을 단순 비용이 아닌 필수 투자로 인식해야 한다”며 “데이터 경제시대 CPO와 전담조직의 역할과 중요성을 기업 경영에서 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 돼야 할 것”이라고 강조했다. 

이번 KTㆍLG유플러스 조사 결과의 구체적 공개 시기는 아직 확정되지 않았다. 개인정보위는 조사 종료 후 결과를 공개할 방침이다.

심화영 기자 dorothy@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉