개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 SK텔레콤㈜에서 발생한 대규모 개인정보 유출 사고와 관련해, 사고 당일인 지난 4월 22일부터 즉시 조사에 착수하고 전담 태스크포스(TF)를 구성해 독립적인 조사를 진행 중이라고 밝혔다.
이번 조사는 개인정보 보호법 제63조에 근거한 것으로, 과학기술정보통신부가 주관하는 민관합동조사단의 정보통신망법 기반 침해사고 조사와는 별개다. 개인정보위는 SKT의 개인정보 유출 대상 및 피해 규모, 기술적·관리적 보호조치의 위반 여부 등을 중점적으로 들여다보고 있다.
앞서 개인정보위는 유출된 가입자 휴대전화번호, IMSI, 인증키 등의 유심 관련 정보를 개인정보로 판단하고, 지난 5월 2일 위원회 긴급의결을 통해 SKT에 모든 정보주체에게 개별 통지할 것을 요구했다. 이와 함께 피해 확산 방지와 재발 방지를 위한 대책 마련도 촉구했다.
조사 결과, 기존에 지목된 가입자인증시스템(HSS) 외에도 ICAS(통합고객시스템) 서버 2대를 포함해 총 18대의 서버에서 악성코드 감염 사실이 추가로 확인됐다. 특히 ICAS 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 238개 항목에 이르는 중요 개인정보가 저장돼 있었던 것으로 드러났다.
개인정보위는 악성코드의 최초 감염 시점을 2022년 6월로 추정하고, 감염 경위 및 정보 유출 정황에 대한 정밀 조사를 이어가고 있다. 이와 관련해 5월 13일과 16일 열린 관계부처 회의에서 SKT 일부 서버의 추가 감염 가능성과 실제 감염 사실을 확인한 바 있다.
개인정보위 관계자는 “이번 사고는 국민적 우려가 매우 큰 중대한 유출 사건”이라며 “철저한 진상 규명과 함께 피해 확산 방지 및 재발 방지 대책을 강구하겠다”고 밝혔다.
한편 위원회는 현재 비상 대응 체제를 유지하며, 피싱·스미싱 대응법 안내, 유출 정보의 유통 차단을 위한 인터넷 및 다크웹 모니터링 강화 등의 조치를 병행하고 있다.