최장혁 개인정보보호위원회 부위원장은 SK텔레콤 해킹 사고와 관련해 “메인서버에서 (개인정보) 유출이 있었다고 본다”고 밝혔다. 이어 “우리나라 1위 통신사의 메인 서버가 해킹당했다는 자체가 굉장히 상징적”이라고 덧붙였다.
최 부위원장은 29일 정부서울청사에서 개최된 정례브리핑에서 “SKT가 그걸(메인 서버 유출) 왜 부정했는지 모르겠다”며 이같이 말했다. 앞서 개인정보위는 22일 SKT로부터 유출 신고를 받은 후 곧바로 조사에 착수했다. 사내 변호사와 조사관, 외부 전문가 등으로 구성된 태스크포스(TF)를 가동했다.
다만 최 부위원장은 “주민등록번호 등이 (유출된 정보에) 포함됐다고 단정적으로 말씀드리기 어렵다”며 구체적인 유출 항목과 정황 등을 언급하기엔 이르다고 말했다. 그러면서 “(해킹된) 유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다”고 설명했다.
2300만명의 가입자를 보유한 SKT에 대한 과징금 규모가 전례 없이 클 수 있다는 가능성도 제기됐다. 최 부위원장은 “기본적으로 LG유플러스 개인정보 유출 때와 차원이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었기에, (SKT의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다”고 말했다.
앞서 개인정보위는 2023년 7월 관리 부실로 고객의 개인정보 30만건을 유출한 LG유플러스에 과징금 68억원을 부과한 바 있다. 당시 개인정보보호법은 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’로 규정했다. 과징금 상한액은 지난해 9월 개인정보보호법 개정으로 ‘전체 매출액의 3%’로 조정됐다. 다만 위반행위와 관련 없는 매출액은 과징금 산정에서 제외하도록 했다. 이때 기업이 관련 없는 매출액을 입증해야 해 기업 입장에선 과징금 부담이 커지게 됐다.
SKT 해킹 사태로 이용자의 정보가 다크웹으로 흘러간 정황은 아직까진 없는 것으로 파악됐다. 이정은 개인정보위 조사2과장은 “한국인터넷진흥원(KISA)과 다크웹의 개인정보 유출을 모니터링하고 있다”며 “SKT건이 다크웹에 올라온 사실은 확인된 바 없다”고 설명했다.
김용헌 기자 yong@kmib.co.kr