개인정보보호위원회는 SK텔레콤 해킹 사태로 유출된 개인정보에 이용자 휴대전화번호, IMSI(가입자식별번호) 등 총 25종이 포함됐다고 8일 밝혔다.
이날 개인정보위에 따르면 SK텔레콤 측은 알뜰폰을 포함해 전체 이용자 2564만명에 대해 9일까지 우선 확인된 사항 등을 중심으로 1차 유출통보를 하겠다고 알렸다. 또 현재까지 유출이 확인된 개인정보는 가입자인증시스템(HSS)에 저장돼 있던 휴대전화번호와 가입자식별번호(IMSI), 유심 인증기 및 기타 유심 관련 정보 등 총 25종이다.
개인정보위는 지난 2일 긴급 전체회의를 열어 SK텔레콤에게 개인정보보호법에 따라 개인정보 유출 가능성이 있는 모든 이용자를 대상으로 신속히 개별 통지하도록 의결한 바 있다.
특히 휴대전화번호의 경우 정보주체인 이용자를 직접 대상으로 한 보이스피싱·스미싱·스팸 등에 악용될 수 있다. 인증에 필요한 IMSI 및 유심 인증키 유출은 휴대전화를 통한 각종 서비스의 본인 인증이 일상화된 상황에서 국민의 일상생활에 중대한 영향을 미칠 수 있다고 개인정보위는 설명했다.
아울러 개인정보위는 SK텔레콤 내 개인정보를 처리하는 개별 시스템에 대한 전수조사를 실시하고 있다. 유출 경로가 된 주요 시스템에 악성프로그램 방지를 위한 보안프로그램(백신)이 설치되지 않았던 점을 확인했고, 개인정보 관련 기본적인 기술적‧관리적 조치가 미흡했다고 보고 있다.
1차로 침해사고 있었던 HSS 서버 및 과금 관련(WCDR) 서버 외 휴대전화 개통 시스템, 인증 시스템, 과금 시스템 등 주요 개인정보처리시스템을 대상으로 보호법상 안전조치의무 준수 여부에 대한 전수조사를 진행 중이다.
개인정보위는 “사고 이후 시행된 재발방지 대책의 실효성을 면밀히 점검해 추가적인 개인정보 유출 피해 예방에 만전을 기하고 있다”며 “사안의 중대성 고려 및 정보주체의 우려 해소를 위해 필요시 수시로 참고자료를 제공할 예정”이라고 밝혔다.
