[디지털데일리 김보민기자] 고학수 개인정보보호위원회(이하 개인정보위) 위원장이 SK텔레콤 해킹 사고에 따른 연쇄 피해가 발생할 수 있다고 전망했다. 2차 피해를 우려하기에 앞서 이미 대규모 피해가 발생한 만큼, 별도 태스크포스(TF)를 통해 안전조치 위반에 대한 조사를 진행하고 법 위반사항을 강력히 제재하겠다는 의지를 내비쳤다.

고 위원장은 21일 서울 중구 은행회관에서 기자간담회를 열고 "SK텔레콤 사고는 역대급 사건으로 기록될 것"이라며 "그에 맞춰 경각심을 가지고 사안을 들여다보고 있다"고 밝혔다.

현재 SK텔레콤 사용자 사이에서는 단말기 혹은 유심 복제를 우려하는 목소리가 커지고 있고, SK텔레콤은 2차 피해가 없다는 입장을 보이고 있다. 이와 관련해 고 위원장은 "어마어마한 피해는 이미 발생한 것"이라며 "(과징금 등) 구체적인 액수가 어느 정도 될지는 지금 시점에서 가늠하기 어렵지만, 과거 LG유플러스 사례와 전혀 다른 유례 없는 상황"이라고 진단했다.

아직 다크웹을 비롯한 음성 시장에서 SK텔레콤에서 탈취한 정보가 게재된 사례는 확인한 바가 없다고 밝혔다. 다만 "대규모 데이터베이스(DB)일수록 일부만 쪼개서 다른 형태로 조합해 유통할 가능성이 있는데, (이럴 경우) 모니터링이 어려울 수 있다"고 우려를 표했다. 탐지가 어려운 수준으로 악용될 가능성을 배제할 수 없다는 취지다.

개인정보위는 SK텔레콤 신고 당일인 4월22일부터 조사에 착수했고, 이후 집중 조사 TF를 구성해 개인정보보호법에 따른 법 위반사항을 살펴보며 조사를 진행하고 있다. 과학기술정보통신부(이하 과기정통부) 민관합동조사단과 별개로 개인정보에 특화된 조사 영역을 살펴보는 중이다.

개인정보위에 따르면, 유출 경로로 확인된 가입자인증시스템(HSS) 등 5대 외에도 통합고객시스템(ICAS) 서버 2대를 포함해 총 18대 서버에 악성코드가 추가 감염된 것으로 확인됐다. 해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI)를 비롯해 238개 정보가 저장돼 있었다.

고 위원장은 "(ICAS 서버의 경우) 민감성이 높은 정보가 많이 포함돼 있었고, 실제 해커가 이를 활용해 어떤 식으로 무엇을 했는지 조사 중인 상황"이라고 설명했다.

중국 등 국가배후 해킹 조직이 공격자일 수 있다는 의견에 대해서는 "많은 해킹 사건의 경우 정확한 원인과 범인을 규명하기 어려운 경우가 많지만, 이번 사안의 경우 HSS서버에 있던 정보가 과금정보관리서버(WCDR)를 통해 싱가포르 인터넷주소(IP)로 넘어간 흔적이 있었다"며 "이 IP 주소 뒤에 누가 통제를 하고 있었는지 파악이 쉽지 않았다"고 부연했다. 이어 "국제 공조도 필요한 상황"이라고 말했다.

다만 개인정보위의 경우 해커를 특정하는 역할이 아닌 개인정보법 위반 사항에 대해 살펴보는 역할을 하고 있는 만큼, 규명보다는 관리 여부에 조사 초점을 둘 예정이다. 고 위원장은 "누가 문제를 일으켰냐 보다는, 기업이 관리를 잘했는지 소홀히 했는지 등을 볼 예정"이라고 강조했다.

TF를 주재하고 있는 고 위원장은 매주 회의를 개최해 수시 위기대응을 업데이트할 예정이다. 고 위원장은 "위원회에 기술 배경지식을 보유한 인력이 일부 있다"며 "한국인터넷진흥원(KISA) 등과 함께 기술 지원을 하고 있고, 지난해 예산을 반영해 포렌식랩을 만들고 있다"고 말했다. 다만 "현재 구축하고 있는 중이라 SK텔레콤 건에는 해당이 되지 않는다"며 "올해 구축이 되면 빠르게 포렌식이 가능해질 것"이라고 전망했다.

한편 개인정보위는 이날 한국개인정보보호책임자협의회(한국CPO협의회)와 은행연합회 국제회의실에서 '2025 개인정보 정책포럼'을 열고, SK텔레콤 사고를 반면교사 삼아 어떤 국가 보안 체계가 필요한지 논의했다.

염흥열 한국CPO협의회 회장은 "최근 기업에서 연이어 발생하는 개인정보 유출사고는 개인정보 보호의 중요성을 뚜렷이 보여주고 있다"며 "이제 개인정보보호 문제는 단순 정보 주체 프라이버시 권한을 지키는 차원을 넘어, 기업의 존망을 결정하는 핵심 위험요인(리스크)"라고 평가했다.

조직 내 CPO 역할과 권한을 강화하고, 기업이 자발적으로 보안에 대한 투자와 관심을 높이는 변화가 필요하다는 점도 언급했다. 염 회장은 "개인정보는 선택이 아닌 필수이고, 그 중심에는 CPO가 있다"며 "CPO가 단순 법규를 준수하고 이행하는 책임자를 넘어, 신기술 환경에서 데이터 환경과 보호 간 균형을 주도하는 전략적 리더로 자리매김해야 한다고 생각한다"고 강조했다.