고학수 개인정보보호위원회 위원장이 21일 SK텔레콤의 대규모 개인정보 유출 사고에 대해 "역대급 사건으로 경각심을 갖고 심각하게 사안을 들여다보고 있다"고 밝혔다. 고 위원장은 서울 중구 은행회관에서 열린 '개인정보 정책포럼'에서 기자들과 만나 이같이 밝히며, "이미 국민적 피해는 어마어마하게 발생했고 회사가 그 피해를 막지 못한 것"이라고 지적했다.

고 위원장은 이번 사고로 SK텔레콤 가입자인증시스템(HSS)에 저장된 2500만 명 고객 전체 데이터가 해킹된 것으로 파악하고 있다고 설명했다. 그는 "지난 4월 22일 개인정보위에 신고가 접수된 시점부터 개인정보가 유출됐다는 데에는 의심의 여지가 없다고 보고 업무를 처리하고 있다"고 강조했다.

유출된 개인정보의 다크웹 유통 여부에 대해서는 "아직 발견된 것은 없다"면서도 "대규모 데이터베이스일수록 일부를 분할해 다른 형태로 조합 유통할 경우 모니터링에 어려움이 있다"고 우려를 표했다. 

해킹 배후를 특정하는 데에는 어려움이 있다고 토로했다. 고 위원장은 "데이터가 HSS에 있다가 싱가포르를 거쳐 넘어간 흔적이 있었으나, 해당 IP 주소의 통제 주체를 파악하기 어렵다"며 국제 공조와 추가 조사가 필요하다고 언급했다.

특히 SK텔레콤이 최초 악성코드 생성 이후 약 3년간 해커의 침입 사실을 인지하지 못한 점에 대해 "웹셸 공격을 3년이 되도록 몰랐다는 것은 문제의 심각성을 반증한다"며 "이를 방치했다는 사실 자체가 여러 우려를 낳는다"고 비판했다.

SK텔레콤의 개인정보 유출 사실 통지 과정에 대해서도 강한 유감을 표명했다. 고 위원장은 "5월 2일 개인정보위 의결 후 9일에야 통지가 이뤄졌으나, 그 내용이 매우 부실했다"며 "통지 시점도 문제지만, '유출 가능성을 추후 알리겠다'는 등 법에서 요구하는 내용에 부합하지 않는 표현이 사용됐고, 마치 회사 내부적으로도 상황 파악이 안 된 듯한 인상을 줬다"고 질타했다. 그는 "제대로 된 통지가 아니라고 판단해 SK텔레콤 측에 통지 미흡 공문을 발송했다"고 밝혔다.

고 위원장은 "2차 피해 발생 여부와 관계없이 이미 막대한 피해가 발생했다"고 거듭 강조하며 "복제폰이 아니더라도 2차 피해 형태는 다양할 수 있다"고 경고했다. 이어 "분쟁조정위를 통해 최근 100명의 조정 신청이 접수됐으며, 50명 이상이면 집단 대상이므로 절차에 맞춰 진행하겠다"고 설명했다.

징벌적 손해배상과 관련해서는 "개인정보보호법에 관련 조항이 있지만, 법원의 해석 관례를 보면 소비자 눈높이에 미흡할 수 있다"며 "제도 개선을 통해 피해자에게 실효성 있는 구제 방안을 마련하기 위해 추가 논의를 거쳐 구체화할 것"이라고 밝혔다. 과징금 규모에 대해서는 "현시점에서 가늠하기 어렵지만, 과거 LG유플러스 사례와는 성격이 다르다"고 선을 그었다.

한편 고 위원장은 이날 포럼 개회사에서도 "SK텔레콤 개인정보 유출 사고는 디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 매우 중대한 사건"이라며 "철저하고 엄정한 조사를 통해 사고 원인을 규명하고 법 위반 사항에 대해 강력하게 제재할 것"이라고 천명했다. 또한 "이번 사건을 계기로 공공과 민간이 함께 우리 사회 전반의 개인정보 안전관리 체계를 강화해 나갈 필요가 있다"고 당부했다.

개인정보위는 지난달 22일 SK텔레콤으로부터 유출 신고를 받은 직후 태스크포스(TF)를 구성해 조사에 착수했으며, 이달 2일에는 긴급 전체회의를 열어 SK텔레콤에 이용자 개별 통지를 의결한 바 있다.