개인정보보호위원회는 SK텔레콤 개인정보 유출사고 조사 과정에서 경로로 확인된 홈가입자서버(HSS) 등 5대 외에도 통합고객시스템(ICAS) 서버 2대를 포함 18대 서버에서 악성코드가 추가 감염됐다고 19일 밝혔다.
이날 개인정보위에 따르면 해당 18대 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 고객의 중요 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장돼 있다. 특히 악성코드에 최초 감염된 시점이 약 3년 전인 2022년 6월인 점을 고려해 감염 경위와 유출 정황 등을 면밀히 조사 중이라고 개인정보위는 전했다.
앞서 개인정보위는 기존에 유출됐다고 발표된 가입자의 휴대전화번호, IMSI, 인증키 등 유심 정보를 개인정보라고 판단했다. 이에 위원회 긴급 의결로 유출이 확인됐거나 그럴 가능성이 있는 모든 정보주체에 개별 통지하고 피해 방지 대책을 마련하라고 SK텔레콤에 주문한 바 있다.
개인정보위 유출 조사는 개인정보보호법에 제63조에 따른 것으로 정보통신망법에 근거한 과학기술정보통신부 민관합동조사단의 침해사고 조사와는 구분된다. 이번 조사의 핵심은 개인정보 유출 대상과 피해 규모 확정, 사업자의 보호법상 안전조치 의무 위반에 대한 확인이다.
이와 별개로 SK텔레콤 측으로부터 유출조사에 필요한 증적 자료를 별도 확보해 보호법에 따른 조사를 독립적으로 진행하고 있다. 이어 개인정보위는 피싱‧스미싱에 대한 대처 방법을 안내하고 유출된 정보가 유통될 것을 대비해 인터넷이나 다크웹에 대한 모니터링을 강화할 계획이다.
