[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위가 SK텔레콤 해킹 사고에 대해 "엄정히 조사하고 있다"고 밝혔다. 또한 개인정보 관리 서버 또한 피해를 입었다는 조사 결과를 공유하며, 2차 피해가 발생하지 않도록 현 비상 상황을 유지하겠다는 입장을 표했다.

개인정보위(위원장 고학수)는 참고 자료를 통해 "SK텔레콤의 개인정보 유출에 대해 개인정보보호법에 따라 엄정 조사 중"이라고 밝혔다. 이어 "개인정보 유출 사고의 심각성을 인식해 신고 당일인 4월22일 조사에 착수했고, 집중 조사 태스크포스(TF)를 구성해 개인정보보호법에 따른 조사를 진행하고 있다"고 말했다.

개인정보위 유출 조사는 개인정보보호법 제63조에 따른 것으로, 정보통신망법에 근거한 과학기술정보통신부(이하 과기정통부) 민관합동조사단 침해사고 조사와 다르다. 개인정보위는 ▲개인정보 유출 대상 및 피해 규모 확정 ▲사업자 보호법상 안전조치 의무 위반에 대한 확인 등을 위해 조사를 진행하고 있다.

개인정보위는 조사 과정에서 기존 유출 경로로 확인된 가입자인증시스템(HSS) 등 5대 외에도 통합고객시스템(ICAS) 서버 2대를 포함해 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다고 설명했다. ICAS는 티월드 등 사내 서비스 및 사전 인가된 협력사를 대상으로 SKT 가입자 가입 상태, 정보, 가입 상품 조회용 API를 제공하는 시스템이다.

해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI)를 비롯해 총 238개 정보가 저장된 것으로 확인됐다. 개인정보위는 "악성코드에 최초 감염된 시점이 오래된 점을 고려해 감염 경위, 유출 정황 등을 조사하고 있다"고 말했다. 최초 감염 시점은 2022년6월이다.

개인정보위는 대규모 개인정보 유출 사고인 만큼, 대책 강구 등 재발 방지에 집중하겠다는 입장이다. 아울러 피싱, 스미싱 등 2차 피해를 예방하기 위해 모니터링을 강화하고 비상대응상황을 유지할 계획이다.