개인정보 털린 이통사, 본인확인기관 자격 논란

게티이미지뱅크

[한스경제=석주원 기자] SK텔레콤 해킹으로 인한 피해 규모가 확대되면서 민감한 개인정보 유출에 의한 2차 피해 우려도 커지고 있다. SK텔레콤이 본인인증기관으로 지정된 이동통신사라는 점을 고려하면 이번 해킹 사고의 심각성은 더욱 높아진다.

28일 정부와 통신 소비자 커뮤니티에 따르면 근래 인터넷 서비스를 제공하는 기업에서 해킹 공격 등으로 대량의 개인정보가 유출되는 사고가 반복되면서 그간 당연시돼 왔던 통신사들의 이용자 주민등록번호 등 개인정보 수집에 대한 대책 마련이 필요해졌다.

이에 따라 정부는 2012년 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’과 2013년 ‘개인정보 보호법’ 개정을 통해 인터넷으로 서비스에 가입할 때 주민등록번호를 사용하지 않는 방법을 제공하도록 법에 명시했다.

정보통신망법에 따르면 본인확인기관으로 지정받은 경우에만 예외적으로 주민등록번호를 수집하고 이용할 수 있도록 하고 있으며 이 경우에도 주민등록번호를 사용하지 않고 본인을 확인하는 방법을 제공해야 한다.

관련법이 제정됨에 따라 2011년 10월 신용평가사인 NICE평가정보, SCI평가정보, 코리아크레딧뷰로(KCB)가 아이핀 본인확인기관으로 처음 지정됐다. 2013년 1월에는 이동통신 3사가 휴대폰 본인확인기관으로 지정돼 서비스를 시작했다.

본인확인기관 선정 기준은 정보통신망법 제23조의3에 의거해 ▲본인확인업무의 안전성 확보를 위한 물리적·기술적·관리적 조치계획 ▲본인확인업무의 수행을 위한 기술적·재정적 능력 ▲본인확인업무 관련 설비규모의 적정성을 심사한다.

세부 심사 기준을 살펴보면 1000점 만점에 ▲정보통신망 침해행위의 방지(200점) ▲시스템 및 네트워크의 운영·보안 및 관리(160점)으로 보안과 관련한 항목의 배점이 높게 할당돼 있다. 이외에도 ▲긴급상황 및 비상상태의 대응 ▲접속정보의 위·변조 방지 ▲이용자 개인정보를 검증·관리 및 보호 설비 등 개인정보 보호와 후속 조치 관련한 항목이 심사 기준의 대부분을 차지한다.

본인확인기관 지정심사 기준 및 배점./방송통신위원회, 한국인터넷진흥원

이번 SK텔레콤의 개인정보 유출 사고에서는 침해행위의 방지와 시스템 보안 관리에 모두 실패한 정황이 확인됐으며 늦장 보고와 발표, 피해자 구제를 위한 후속조치 등에서도 많은 문제점들을 노출했다.

관련법에서는 본인확인업무 정지 및 지정 취소 규정도 마련돼 있다. 규정에 따르면 본인확인기관 지정 기준에 적합하지 않게 된 경우 1차 경고, 2차 3개월 업무 정지, 3차 이상 6개월 업무 정지의 처분이 내려진다.

하지만 2014년 KT에서 1200만명의 개인정보가 유출됐을 때도, 2023년 LG유플러스에서 29만명의 개인정보가 유출됐을 때도 별다른 조치 없이 본인확인 업무는 계속 이어졌다. 이번 SK텔레콤 보안 사고도 마찬가지다. 2695만건의 유심 정보가 유출됐음에도 여전히 SK텔레콤의 본인확인 서비스를 이용할 수 있다.

방송통신위원회 관계자는 “이번 SK텔레콤 해킹 사건에서 본인확인기관에 대한 악성코드 침해는 발생하지 않았다. 혹시 모를 상황에 대비해 선제적으로 SK텔레콤 등 이통 3사 본인확인 서버에 대한 철저한 모니터링을 실시하고 있다”고 말했다.

현재 본인확인기관으로 지정된 곳은 아이핀 3사, 이동통신 3사 외에도 신용카드 7개사, 전자서명 인증기관 13개사로 총 26곳에 이른다. 방송통신위원회는 올해에도 본인확인기관 추가 모집 공고를 발표한 상황이다. 일각에서는 본인확인기관의 수가 늘면서 개인정보 수집을 최소화하기 위해 시행된 본인확인 제도의 본래 취지가 퇴색됐다는 주장도 나오고 있다.

지난해 조국혁신당 이해민 의원이 공개한 정보에 따르면 2020년~2024년 6월 사이 가장 많이 이용된 본인확인 서비스는 휴대폰으로 전체의 96%에 달하는 109억건으로 집계됐다. 업계에 따르면 본인확인 이용 시 발생하는 수수료는 건당 40원으로 이 기간 동안 이통사가 벌어들인 본인확인 수수료 수익은 4360억원 규모로 추정된다.

보안업계 관계자는 “개인정보 유출 사고가 발생한 사업자가 본인확인 서비스로 수익까지 챙기는 것은 불합리하다. 이용자 편의도 중요하지만 민감한 개인정보를 수집·관리하는 기관에 대한 보다 철저한 보안 점검이 필요한 상황”이라고 지적했다.