(서울=뉴스1) 이기림 기자 = 고학수 개인정보보호위원회 위원장은 21일 "SK텔레콤(SKT 개인정보 유출 사고) 건은 저희 관점에서는 역대급 사건"이라며 "경각심을 갖고 심각하게 사안을 들여다보고 있다"고 밝혔다.

고 위원장은 이날 서울 중구 은행회관에서 개인정보위가 한국CPO협의회와 공동주관한 개인정보 정책포럼에서 기자들과 만나 이같이 말했다.

고 위원장은 "가장 기본적인 피해를 입은 당사자가 고객이고 국민"이라며 "근본 피해는 많이 발생했고, 일부는 피해 발생이 증명된다고 단서를 말하지만 회사가 그 피해를 막지 못한 것"이라며 "위원회는 어떤 점에서 안전조치 의무를 잘 지키지 못했는지 상황을 보고 있다"고 밝혔다.

이어 "HSS(가입자인증시스템)에서 SKT 고객 전체 데이터가 해킹된 것"이라며 "ICAS(통합고객인증시스템) 서버 부분은 최근 위원회가 데이터를 입수해 분석하고 있다"고 말했다.

그러면서 "다크웹에서 발견된 건 없지만, 우려스러운 건 워낙 대규모라는 것"이라며 "대규모 DB(데이터베이스)일수록 일부만 쪼개서 다른 형태로 조합해 유통하면 모니터링이 어렵다"고 밝혔다.

또한 고 위원장은 "4월 22일 위원회에 신고가 들어왔고, 그날부터 당연히 개인정보가 유출됐다고 보고 일처리했다"며 "징벌적 손해배상 관련해서는 개인정보 보호법에 이미 조항이 있고, 앞으로 제도개선 맥락에서 어떻게 개개인 피해자에게 실효성 있는 구제방안을 마련할지 추가 논의해 구체화하는 과정"이라고 말했다.

고 위원장은 "많은 해킹 사건은 정확한 원인 규명 내지 범인이 누군지 확인하기 어려운 경우가 훨씬 많다"며 "당초 (데이터가) HSS 서버에 있다가 싱가포르 쪽으로 IP가 넘어간 흔적이 있었고, 싱가포르 IP 주소가 누구에 의해 있던 건지 파악이 쉽지 않다"며 "국제 공조도 필요하고 시간이 좀 더 걸릴 것"이라고 밝혔다.

이어 "(SKT의) 유출 통지는 5월 2일 우리가 의결하고 9일까지 통지하도록 했는데, 유감이 많다"며 "그때까지 통지 안 한 게 크고, 유출 가능성이나 추후 조사결과 후 알리겠다 등의 표현이 있는데 이렇게 큰 회사가 몇 주 지났는데 조사를 스스로 하고 있다는 식으로, 나중에 진실이 밝혀지면 알리겠다는 식으로 소극적인, 회사 내부적으로 파악이 안 된 것 같은 내용이 담겼다"고 지적했다.

그러면서 "법에서 요구하는 통지 내용에 부합하지 않은 것도 있었다. 제대로 된 통지가 아닌 것"이라며 "2차 피해는 당연히 모니터하고 있고, 2차 피해가 생겨야 진짜 피해가 생긴 거라고 하는데 그건 잘못된 것으로 어마어마한 피해는 이미 발생했다"며 "과징금 액수를 5000억 원 얘기하는데, 과징금에는 가중사유, 감경사유 등의 규정이 있다. 구체적 액수를 가늠하기는 어렵다"고 밝혔다.

lgirim@dqdt.shop