[비즈니스포스트] 개인정보보호위원회가 중요 개인정보를 포함하고 있는 SK텔레콤 서버 18대에 악성코드가 추가 감염된 것을 확인했다.

개인정보보호위원회는 19일 보도참고자료를 내고 “SK텔레콤 개인정보 유출사고의 심각성을 인식하고 4월22일 신고 당일 조사에 착수했으며 집중조사 태스크포스(TF)를 구성해 개인정보 보호법에 따른 조사를 진행하고 있다”고 밝혔다.
 

이날 위원회는 자체 조사 과정에서 기존 유출경로로 확인된 HSS(가입자인증시스템) 등 5대 외에도 ICAS(통합고객시스템) 서버 2대를 포함 모두 서버 18대에 악성코드가 추가 감염된 것을 파악했다고 설명했다.

위원회에 따르면 악성코드가 추가 감염된 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI(단말기식별번호), IMSI(가입자식별번호) 등 고객의 중요 개인정보를 포함해 컬럼값 기준으로 모두 238개 정보가 저장되어 있다.

위원회는 악성코드에 최초 감염된 시점이 2022년 6월로 오래된 점을 고려해 감염경위, 유출정황 등을 면밀히 조사하고 있다.

위원회는 앞서 유출됐다고 발표된 가입자 휴대전화번호, IMSI, 인증키 등 유심정보를 개인정보라고 판단해 2일 위원회 긴급의결을 거쳐 유출이 확인됐거나 가능성이 있는 모든 정보주체에게 개별 통지하고 피해방지 대책을 마련하도록 촉구했다.

위원회의 유출조사는 개인정보보호법 제63조에 따른 것으로 정보통신망법에 근거한 과학기술정보통신부 민관합동조사단의 침해사고 조사와는 구분된다. 이에 SK텔레콤 측으로부터 필요한 자료를 확보해 독립적으로 조사를 진행하고 있다.

위원회는 “국민적 우려가 큰 대규모 개인정보 유출 사고”라며 “철저히 조사하고 관련 대책 강구 등을 통해 재발 방지에 만전을 기할 것”이라고 설명했다.

이어 “피싱·스미싱에 관한 대처 방법 안내와 혹시 모를 유출정보 유통에 대비해 인터넷 및 다크웹 모니터링을 강화하고 당분간 현 비상대응상황을 유지할 것”이라고 덧붙였다. 장상유 기자