SK텔레콤 해킹사고 당시 추가 감염된 것으로 확인된 통합고객시스템(ICAS) 서버에는 약 238개 데이터 항목이 저장돼 있는데, 이름, 주민등록번호, 생년월일, 성별, 주소 등 민감한 개인정보가 다수 포함돼 있었던 것으로 밝혀졌다.
뉴시스 보도에 따르면, 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 정례브리핑을 갖고 최근 SK텔레콤 개인정보 유출 사고에 대해 이같은 사실을 전했다.
개인정보위는 SK텔레콤 측이 개인정보유출 정황을 신고한 지난달 22일 당일 조사에 착수했고 '집중조사 TF'를 구성해 관련법에 따라 조사를 진행 중이다. 개인정보위는 개인정보 유출 대상 및 피해 규모의 확정과 사업자의 관련법상 안전조치 의무(기술적·관리적 조치 포함) 위반을 확인하고 있다.
고학수 위원장은 "일반적인 상식으로 보더라도 민감성이 높은 정보들이 상당수 포함된 상황"이라며 "이 서버가 악성코드에 감염된 사실이 확인됐고, 현재 해커가 해당 데이터를 실제로 어떤 방식으로 사용했는지는 조사 중"이라고 말했다. 이어 "아직 조사가 마무리되지 않아 구체적으로 언급하기는 어렵지만, 민감한 정보를 담고 있는 서버가 악성코드에 감염됐다는 것 자체만으로도 매우 불안한 상황임은 분명하다"고 말했다.
또 "초기에는 BPF백도어 계열의 악성코드 변종들이 여러 군데에서 발견됐고, 이로 인해 점점 더 많은 서버에 영향을 줄 가능성도 제기되고 있다"면서 "아울러 심각하게 받아들여야 할 점은, 최근 웹셸(WebShell) 공격이 있었던 사실이 추가로 확인됐다는 것"이라고 설명했다.
고 위원장은 웹셸 공격이 3년 가까이 인지되지 못한 채 방치돼 있었다는 점은 이번 사안의 심각성을 보여주는 대목이라고 지적했다. 고 위원장은 "장기간에 걸쳐 악성코드가 침투해 있었지만 아무도 알아차리지 못했다는 점은, 보안 체계에 대한 근본적인 우려를 불러일으키는 요소"라고 말했다.
Copyright ⓒ 모두서치 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
