개인정보 보호위원회

(보도참고) 개인정보위, SKT의 개인정보 유출에 대해 개인정보 보호법에 따라 엄정 조사중 

  □ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 에스케이텔레콤㈜(이하 ‘SKT’) 개인정보 유출사고의 심각성을 인식하고, 신고 당일(4. 22.) 조사에 착수하였고, 집중조사 TF를 구성하여 개인정보 보호법에 따른 조사를 진행중임

   ○ 개인정보위는 기 유출 발표된 가입자 휴대전화번호, IMSI, 인증키 등 유심정보를 개인정보라고 판단하여, 위원회 긴급의결(5. 2.)로 유출이 확인되었거나 가능성이 있는 모든 정보주체에게 개별 통지하고, 피해방지 대책을 마련하도록 촉구한 바 있음

  □ 개인정보위 유출조사는 개인정보 보호법(이하 ‘보호법’) 제63조에 따른 것으로, 정보통신망법에 근거한 과기정통부 민관합동조사단의 침해사고 조사와는 구분되며, 

   ○ 개인정보위 조사의 핵심은, (1)개인정보 유출 대상 및 피해 규모의 확정과 (2)사업자의 보호법상 안전조치 의무(기술적·관리적 조치 포함) 위반에 대한 확인임 

   ○ 이에 따라, 5. 13. 관계부처 회의 시 과기정통부는 개인정보가 포함된 서버의 추가 감염 가능성을 공유하였고, 5. 16. 회의에서 악성코드 추가 감염사실을 확인한 바 있으나,

   ○ 개인정보위는 이와 별개로, SKT측으로부터 유출조사에 필요한 증적 자료를 별도 확보하여, 보호법에 따른 조사를 독립적으로 진행하고 있음

  □ 개인정보위는 조사 과정에서, 기존 유출경로로 확인된 HSS(가입자인증시스템) 등 5대 외에도 ICAS(통합고객시스템) 서버 2대를 포함 총 18대 서버에 악성코드가 추가 감염된 것을 확인하였고, 

    * ICAS(Intergrated Customer Authentication System) : Tworld 등 사내 서비스 및 사전 인가된 협력사 대상 SKT 가입자의 가입 상태, 정보 및 가입 상품 조회용 API 제공

   ○ 해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI(단말기식별번호), IMSI(가입자식별번호) 등 고객의 중요 개인정보를 포함하여 총 238개 정보(컬럼값 기준)가 저장되어 있으며, 악성코드에 최초 감염된 시점(’22. 6.)이 오래된 점을 고려하여 감염경위, 유출정황 등을 면밀히 조사하고 있음  

  □ 개인정보위는 국민적 우려가 큰 대규모 개인정보 유출 사고인 만큼 철저히 조사하는 한편, 관련 대책 강구 등을 통해 재발 방지에 만전을 기할 예정이며, 

   ○ 피싱·스미싱에 대한 대처 방법 안내와 혹시 있을지도 모를 유출정보의 유통에 대비해 인터넷 및 다크웹에 대한 모니터링을 강화하는 한편, 당분간 현 비상대응상황을 유지할 예정임

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 허재형(02-2100-3129), 채리(02-2100-3159)