서울 중구 SK텔레콤 본사 모습. [연합]

[헤럴드경제=고재우 기자] 개인정보보호위원회(개보위)는 지난달 22일부터 SK텔레콤 개인정보 유출 사고 관련 집중 조사 TF를 구성하고, 개인정보보호법에 따른 조사를 진행 중이라고 19일 밝혔다.

개보위는 유출로 발표된 가입자 휴대전화 번호, 고유식별번호(IMEI), 인증키 등 유심 정보를 개인정보라고 판단했다. 이에 지난 2일 위원회 긴급 의결로 유출이 확인됐거나 가능성이 있는 모든 정보 주체에게 개별 통지 및 피해 방지 대책을 마련토록 촉구한 바 있다.

개보위 유출 조사는 개인정보보호법 제63조에 따른 것이다. 조사의 핵심은 ▷개인정보 유출 대상 및 피해 규모 확정 ▷사업자의 보호법상 안전조치 의무(기술적·관리적 조치 포함) 위반에 대한 확인이다.

개보위는 SKT측으로부터 유출 조사에 필요한 자료를 별도로 확보해 보호법에 따른 조사를 독립적으로 진행하고 있다.

개보위는 티월드 등 사내 서비스 및 사전 인가된 협력사 대상 SKT 가입자 가입 상태, 정보 및 가입 상품 조회용 API를 제공하는 통합고객시스템(ICAS) 서버 2대를 포함해 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다.

해당 서버에는 이름, 생년월일, 휴대전화 번호, 이메일, 주소, IMEI, 가입자식별번호(IMSI) 등 고객 중요 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장돼 있었다. 지난 2022년 6월 악성코드에 최초 감염이 오래된 점을 고려해 감염 경위, 유출 정황 등을 조사 중이다.

개보위는 “대규모 개인정보 유출 사고인 만큼 철저히 조사하는 한편, 관련 대책 강구 등을 통해 재발 방지에 만전을 기할 예정”이라고 밝혔다.

이어 “피싱·스미싱에 대한 대처 방법 안내와 혹시 있을지도 모를 유출 정보의 유통에 대비해 인터넷 및 다크웹에 대한 모니터링을 강화하는 등 당분간 현 비상 대응 상황을 유지할 예정”이라고 덧붙였다.