SK텔레콤이 최근 발생한 해킹 사고와 관련해 통합고객시스템(ICAS) 서버가 악성코드에 감염됐고, 해당 서버에 이름, 주민등록번호, 생년월일, 성별, 주소 등 민감한 개인정보가 다수 저장돼 있었던 것으로 드러났다.
고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 정례브리핑을 열고 이번 SK텔레콤 개인정보 유출 사고의 중간 조사 경과를 발표했다. 그는 “통합고객시스템 서버에 약 238개의 데이터 항목이 저장돼 있었고, 이 중에는 일반적인 상식으로 보더라도 민감성이 높은 정보들이 다수 포함돼 있었다”고 밝혔다.
문제가 된 ICAS 서버는 해커의 악성코드에 감염된 상태였던 것으로 확인됐다. 고 위원장은 “이 서버가 실제로 어떻게 활용됐는지, 해커가 해당 정보를 어떤 방식으로 사용했는지는 현재 조사 중”이라면서도 “민감한 개인정보가 담긴 서버가 악성코드에 감염된 사실 자체만으로도 매우 심각하고 불안한 상황”이라고 강조했다.
개인정보보호위원회는 SK텔레콤이 지난달 22일 개인정보 유출 정황을 처음 신고한 직후 즉각 조사에 착수했다. 동시에 ‘집중조사 태스크포스(TF)’를 구성해 SK텔레콤이 관련 법률에 따른 안전조치 의무를 제대로 이행했는지 여부를 확인 중이다. 여기에는 기술적 조치와 관리적 조치가 모두 포함된다.
조사 과정에서 문제가 된 악성코드는 BPF 백도어 계열의 변종인 것으로 나타났다. 고 위원장은 “초기 분석에서 여러 지점에서 이러한 악성코드가 발견됐다”며 “향후 더 많은 서버로 확산될 가능성도 배제할 수 없다”고 설명했다.
특히 이번 사안의 심각성을 부각시키는 대목은 웹셸(WebShell) 공격이 장기간 탐지되지 않은 채 지속됐다는 점이다. 고 위원장은 “웹셸 공격이 약 3년간 인지되지 않고 방치돼 있었던 사실이 확인됐다”며 “장기간 악성코드가 침투해 있었지만 누구도 이를 알아차리지 못했다는 것은 SK텔레콤의 내부 보안 체계 전반에 근본적인 문제가 있음을 시사한다”고 지적했다.
그는 “현재 진행 중인 조사가 아직 마무리되지 않아 유출된 정보의 정확한 범위나 해커의 구체적인 행위를 단정하기는 이르다”면서도 “지금까지 드러난 정황만으로도 국민의 개인정보 보호에 중대한 허점이 발생했음을 알 수 있다”고 말했다.
개인정보위는 향후 조사 결과에 따라 SK텔레콤에 대한 행정조치를 검토하고, 필요한 경우 형사고발이나 과징금 부과 등 법적 조치도 병행할 계획이다. 아울러 이번 사태를 계기로 국내 대형 통신사의 개인정보 보호 조치에 대한 전면적인 재점검이 불가피할 전망이다.