[비즈니스포스트] 가입자들의 유심(본인 인증 모듈) 정보가 담긴 서버(컴퓨터) 등 이번에 해커(불법 침입자) 손에 뚫려 가입자 개인정보가 대거 유출된 SK텔레콤 서버에는 악성코드 설치 방지를 위한 보안프로그램(백신)조차 설치돼 있지 않았던 것으로 드러났다.

SK텔레콤이 그동안 네트워크와 서버 등에 대한 보안을 허술하게 해온 사실을 보여준다. 이번에 `유심 해킹'을 당한 게 불가피했던 게 아니라, 회사 경영진의 잘못된 투자 판단으로 자초한 것이라는 지적을 피하기 어렵게 됐다.

서버가 뚫린 원인이 사업자 귀책으로 드러난만큼, 2차 피해 발생 가능성에 대한 불안감에 이탈하는 가입자들의 중도 해지 위약금 면제 요구를 거부할 명분이 사라지는 것은 물론이고, 개인정보보호법에 따라 거액의 과징금 부과와 관리책임자 검찰 고발 조치 등 엄한 처벌이 뒤따를 전망이다.

개인정보보호위원회(개인정보보호위)는 8일 보도참고자료를 통해, SK텔레콤 가입자 유심 정보 유출 경로로 이용된 주요 시스템에 백신이 설치되지 않았던 점을 확인했다고 밝혔다. 개인정보보호위는 "개인정보 관련 기본적인 기술적·관리적 조치가 미흡했다는 의미"라고 설명했다.

개인정보보호위는 또 "현재까지 유출이 확인된 개인정보는 HSS(가입자 인증 시스템)에 저장돼 있던 이용자 휴대전화번호, 가입자 식별번호(IMSI), 유심 인증 키 및 기타 유심 관련 정보 등 총 25종"이라고 밝혔다.

개인정보보호위는 "휴대전화번호는 정보 주체를 직접 대상으로 한 보이스피싱·스미싱·스팸 등에 악용될 수 있고, 인증에 필요한 가입자식별번호 및 유심 인증 키 유출은 휴대전화를 통한 각종 서비스의 본인 인증이 일상화된 상황에서 국민 일상생활에 중대한 영향을 미칠 수 있다"고 짚었다.

개인정보보호위는 "SK텔레콤 내 개인정보를 처리하는 개별 시스템에 대한 전수조사를 하고 있다"고 덧붙였다. "1차적으로 침해사고가 있었던 HSS 가운데 음성통화 관련 서버 및 WCDR(과금 관련) 서버 외 휴대전화 개통시스템, 인증시스템, 과금시스템 등 주요 개인정보처리시스템을 대상으로 개인정보보호법상 안전조치 의무 준수 여부에 대한 전수조사를 진행 중"이라고 밝혔다.

개인정보보호위는 "SK텔레콤이 오는 9일까지 자사 통신망을 쓰는 알뜰폰 가입자를 포함해 전체 가입자 2564만명에게 어떤 정보가 유출됐는지 우선 확인된 사항을 중심으로 1차 유출 통지를 하겠다고 알려왔다"고 밝혔다. 앞서 개인정보보호위는 지난 2일 긴급 전체회의를 열어, SK텔레콤에 개인정보보호법에 따라 개인정보 유출 가능성이 있는 모든 이용자를 대상으로 신속히 개별 통지를 하도록 의결한 바 있다. 김재섭 선임기자