이름, 생년월일, 휴대전화번호, IMEI 등 개인정보 저장돼 있어

에스케이텔레콤(이하 ‘SKT’) 해킹으로 악성코드에 최초 감염된 시점이 약 3년 전인 2022년 6월으로 파악됐다. SKT 통합고객시스템 서버 2대를 포함한 18대에 악성코드가 추가 감염된 사실을 확인했다. 

감염 서버에는 복제폰에 악용될 수 있는 단말기 고유식별번호(IMEI)를 비롯해 이름, 생년월일, 휴대전화번호, 이메일, 주소 등 중요 개인정보 다수가 들어 있어 IMEI가 탈취됐을 가능성도 제기됐다.

개인정보보호위원회는 19일 SKT 개인정보 유출에 대해 개인정보보호법에 따라 엄정조사 중이라고 밝혔다. 과기정통부 민관합동조사단의 침해사고 조사와 달리 개인정보 유출대상· 피해규모 확정과 사업자의 보호법상 안전조치 의무 위반에 대한 확인이 핵심이다.

개인정보위는 조사 과정에서 기존 유출경로로 확인된 HSS(가입자인증시스템) 등 5대 외에도 ICAS(통합고객시스템) 서버 2대를 포함 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다고 발표했다.

해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI(단말기식별번호), IMSI(가입자식별번호) 등 고객의 중요 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장돼 있는 것으로 파악됐다.

개인정보위는 악성코드에 최초 감염된 시점이 2022년 6월로 오래된 점을 고려해 감염경위, 유출정황 등을 면밀히 조사하고 있다.

아울러 피싱·스미싱 대처방법 안내와 유출정보의 유통에 대비한 인터넷·다크웹에 대한 모니터링 강화 등 비상대응상황을 유지할 예정이다.