개보위 부위원장 "해킹 기술 날로 발전···기업 투자 늘려야"

"(기업은) 고객가치가 최고 과제입니다. 추상적 개념이지만, 고객들과의 접점이 바로 개인정보입니다. 분석해서 수요를 미리 예측하고, 광고도 제공하고, 소중한 고객들의 개인정보를 예전과 같은 방식으로 보관하는 건 있을 수 없는 일입니다. 과감한 인력배치를 해서 개인정보 보호수준을 한 단계 높여야 됩니다. 개인정보위는 유출사고에 대해선 글로벌 기업, 국내기업 가리지 않고 엄중한 책임 물을 생각입니다."

최장혁 개인정보보호위원회(개인정보위) 부위원장은 29일 오후 정부서울청사에서 열린 출입기자들과의 정례브리핑에서 이 같이 밝혔다. 개인정보위는 매달 한 번 출입기자들과 정례 브리핑을 갖고 있다.

최 부위원장은 증폭하고 있는 SK텔레콤 해킹 사고와 관련해서는 "메인서버에서 (개인 정보) 유출이 있었다고 본다. 우리나라 1위 통신사의 메인 서버가 해킹당했다는 자체가 굉장히 상징적"이라고 말했다. SK텔레콤은 해킹과 관련해 아직까지 "개인정보 유출은 없다"는 입장이다. 또 조사 기관과 관련해서는 "사내 변호사 포함해서 베테랑 조사관 투입했고, 외부전문가와 TF를 구성했기 때문에 최대한 빠른 시일 내에 조사 완료해 국민 근심을 덜어드리겠다"고 밝혔다.

최 부위원장은 "해킹기술은 계속 발전하는데 한국 기업들의 투자는 부족해 이런 일이 일어나지 않났나 한다"면서 보이스피싱 앱을 마련해 스케이텔레콤과 관련한 사건에서 효과를 보고 있다고 덧붙였다. 이어 정부가 여러 어려운 상황이지만 열심히 일하고 있고, 잘 대처하고 준비하고 있다면서 개인정보위가 잘 준비해 국내 대리인제도 법을 통과 시킨 걸 예로 들었다. 글로벌 기업이 국내에 대리인을 둬야 한다는 것으로, 개인정보위는 이의 첫 적용을 딥시크에 했다. 또 한국의 AI를 발전시키기 위해 특례조항을 만들어 상정시켰다면서, 한국AI발전에 큰 역할을 할 것으로 본다고 예상했다. 이 조항은 아직 국회에서 논의중이다. 아래는 최 부위원장과 출입기자들과 오간 정례브리핑 내용.

최장혁 개인정보보호위원회 부위원장이 29일 정부서울청사에서 출입기자들과 정례브리핑을 갖고 현안을 설명하고 있다.

-딥시크 얘기를 앞전에 하셨는데, 국내 서비스 재개가 됐고, 유출된 데이터 파기 여부는 확인하셨는지?

"시정권고를 했기 때문에 수락하겠다고 답변 왔고, 60일 이내에 이행점검 여부 확인할 예정이고, 국내대리인 지정은 개선권고를 했기 때문에, 시정권고나 개선권고가 잘 반영될 수 있는는 루트를 확보했다고 생각한다."

-아직 파기여부는 확인 안 됐는지?

"그쪽에서 파기했다고 했기 때문에..."

-거기서 파기를 했다고 했는데, 개보위는 확인을 못 한 건가

"시정권고나 개선권고를 하고, 이행여부는 확인하는데 시간이 필요하기 때문에, 딥시크가 글로벌 기업이기 때문에 문서를 보냈으면 신뢰를 해주고, 이행점검 절차가 있기 때문에 충분히 할 수 있으리라 본다."

-SK텔레콤 관련해서 과기정통부가 1차 조사결과를 발표했다. 개인정보위에서 어떻게 보시는지 궁금하다. 조사는 얼마나 걸릴지 예상하나?

"어제 위원장님이 조금 오래걸린다고 말씀하셨는데, 처분까지의 개념이고, 조사에 대해선 저희가 이례적으로 당일 바로 조사에 착수했고, 사내 변호사 포함해서 베테랑 조사관 투입했고, 외부전문가와 TF를 구성했기 때문에 최대한 빠른 시일 내에 조사 완료해서 국민 근심 덜어드리려 한다. 과기부는 조금 전에 대변인이 발표했다고 알려왔는데, 유심 관련 내용이 많이 들어있다. 유심은 과기부가 주무부처기 때문에 내용 신뢰해야 한다고 생각하고, 저희는 접근이 다른게, 유심이 담고 있는 개인정보성, 유심 보관한 메인서버에 적절한 안전조치가 이뤄졌는지를 중점으로 보고 있다. 실무진 보고에 따르면 외부 5개 정도의 방어막이 있었고, 방화벽마다 어떻게 통과했는지를 살펴보기 때문에, 단계별로 조사 진행되면 결과가 나올 수 있지 않을까 보고 있다."

-SK텔레콤 발표를 보면, 교체할 유심이 없었는데 교체해서 사회적 혼란을 줬는데, 개보위 처분 때 기망행위로 볼 수 있는지?

"유심에 대해서 저희가 접근하는 건, 유심의 개인정보성, 어느정도 포함되었는지하고, 유심 보관 메인서버에 대한 안전성 조치 문제기 때문에, 에스케이가 보관한 유심재고가 얼마나 진실에 부합하는지는 과기정통부하고 상의해서, 저희가 유심재고를 확인할 방법도 없고 해서, 사실에 부합하는가는 과기정통부와 상의해야겠지만, 저희 처분내용에 포함하기에는 용이해보이지 않지만, 협의해봐야겠지만, 저희 조사내용과 딱 들어맞진 않는 것 같다."

-어제 위원장께서 말씀하실 때 최초 정황 신고시점이 19일 23시로 말씀하셨는데, KISA(한국인터넷진흥원)에는 18일 23시로 들어갔는데 차이 난 이유? TF 꾸리셨다는데 지원 관련해서도 움직이는지?

"최초 신고 관련해서 KISA하고, 어제 말씀하신 차이가 있는 것 관련해서 내용 알아보려고 하고 있고, 조사를 해서 SKT가 72시간 내에 저희는 신고하면 되기 때문에, 유출 인지정황이 있었는지는 조사하면 나올 것 같다. 유출 인지시점과 차이가 있는건, 조사결과에 따라서, 18일이 되면 벗어나는 셈이니까, 조사결과에 따라서 알 수 있고, TF는, 아시다시피 개보위가 조사인력이 많지 않기 때문에, SKT 조사는 차후로, 안 그래도 개보위 유출방지 지원 이런게 필요하기 때문에, 사실 저희가 작년에 대비라기는 뭐하지만 포렌식랩 예산을 확보했다. 경로유출 탐색하는데 어려움이 있어 기재부 예산 받아서 꾸리고 있다. 개인정보가 어떻게 유출됐는지 흐름을, 랩 연구를 시키면, 개보위 차원에서는, 이런 흐름으로 유출됐다는걸 발견할 수 있다. 개인정보 보호하기 위한 제도적 뒷받침이 될 것 같다. 작년 확보한 포렌식랩 예산에 더해 개인정보 흐름을 분석해서 수집 보관하고 활용하는 관계에서 어떤 과정을 통해 어떤 부분이 취약했는지를 분석하면, 개인정보를 보호할 수 있는 제도로 생각해서, 하여튼 올해 확보한 예산에 플러스 해서, 장치 내지 제도를 만드는 데 최선의 노력을 다할 생각이다."

-과기부 자료 오후 2시에 나온 걸 보면, 이번에 유출된 정보가 가입자식별키라고 나왔거든요. 그거랑 가입자 전화번호 섞여서 유출되었다는데, 유출규모는 아직 안 나왔지만, 과징금 부과대상에 해당하는지? 전체 매출의 3%로 돼 있는데, SKT 연매출이 17조원대 인데, 다 감당할 수 있을수는 없을 것 같은데, 감경 되는지? 포렌식 조사까지 다 하면 기간 어느정도 걸릴지?

"유심칩의 IMSI가 됐던 IMEI가 됐던, 개인정보성은 구체적으로 조사를 해봐야 할 것 같다. 나타난 정황으로는 충분히 개인정보라고 보고 있고 구체적으로 어떤 개인정보를 담고있는지는 조사를 더 해봐야 할 것 같다. 과징금 규모 관련해선, 조사가 시작단계기 때문에 과징금 규모는 이른 측면이 있지만, 엘지유플과는 차원이 다르다. 법 개정 전이었고, 현재 전체 매출액의 3%(SKT 작년 매출은 17조9406억원, 3% 적용하면 5300억원)를 부과할 수 있는데, 엘지유플은 아주 오래전 사례라 유출규모 파악이 어려웠고, 나중에 추론해서 알았기 때문에 차이가 있다. 유플의 연장선으로 생각할 필요 없는듯 하다. 과징금 액수는 상당히, 유플보다는 높아질 가능성이 있기 때문에, 조사가 끝나봐야 알겠지만, 유플과는 차원이 다르다. 포렌식 랩까지는 실제로 아직 안 됐기 때문에, 올해 완성될 지는 준비 중인 상태고. 포렌식랩까지는 갈지 모르겠지만, 베테랑 변호사 전문가, 외부 전문가 도움을 받아서, 처분과 별개로 오늘 과기부가 1차 조사결과 발표했지만, 저희도 빠르게 발표할 수 있도록 노력하겠다."

-보안전문가들 사이에선 탈취된 정보의 양이 많았던 만큼 한번에 해킹되지 않고 이전부터 해킹되었을 가능성 얘기하더라. 처분하실 때 이런 요인들도 감안할지?

"유출시점 관련해선 조사결과가 나와봐야 하고, 적어도 과징금 액수는 1차 2차 3차 나눠서 해킹된 것과 관련 없이, 알려진 데이터가 많기 때문에, 유출 횟수가 처분에 영향 미친다고 보기는 어려운데, 유출시점은 좀 더 조사해서 나중에 발표하겠다."

-22일에 에스케이텔레콤이 보도자료 배포하면서, 개보위 신고 전인데 10시에 신고했다고 자료를 냈다. 이게 시점이 어떻게 되는지? 오전 9시에 자료 배포하면서 10시 배포했다고 미래시점으로...

"(조사2과장이 답변) 10시 신고한 게 맞구요, 아마 에스케이티에서 엠바고 걸어서 보도 준비하면서 같이 나온 것 같습니다. 정확한 신고시점은 22일 10시가 맞다."

서정아 개인정보위 대변인이 사회를 맡아 출입기자들과의 정례브리핑을 진행하고 있다.

-신고 당시 구체적으로 어떤 내용 신고했는지?

"(조사2과장) 그때까지 파악된 상황이었기 때문에 유출규모 파악돼 있지 않았고, 그때까지 파악된, 일부 고객의 정보유출 정황을 확인해서 신고한다는 내용이었다.

(최 부위원장 답변) 유출사고가 아직까지 많이 나는 이유가, 예산과 인원을 보면 대충 판명이 나는데, 한국 굴지의 대기업도 개인정보 관련 예산이 특별히 변화 내지, 해킹기술이 나날이 발전하는 것에 비교해서, 개인정보 투자가 눈에 띄게 변한 게 없다. 전문인력 확보도 마찬가지다. 민간이건 공공이건 엄청난 해킹이 시도되고 있는데, 거기에 대비하는 우리의 수준은 아직까지 전통적인 방식이기 때문에 이 기회를 계기로 민간 공공 합쳐서 많은 투자와 인력보강이 절실한 시점이라고 생각한다."

-어제도 농진청에서 유출사건이 있었다. 이건 개보위에서 다크웹에서 나온 정보를 먼저 확인한 것으로 전해들었다. 이번 건도 다크웹 모니터링 중인지, 에스케이티 사건 관련해서 나온게 있는지?

"(조사2과장)보통 저희가 다크웹의 개인정보 유출되거나 하는 것은 KISA를 통해 같이 모니터링하고, 확인되는 경우 기업들에게 알려주고, 그런 것들을 확인해서 유출이 확인되면 신고하고 통지하도록 저희가 마련해서 운영하고 있다. SKT건의 경우에는 다크웹에 올라온 사실은 확인된 바 없다."

-과기부 조사에서 확정된건 IMEI 유출 없었다는 거고, 나머지는 조사중인데, 궁금한건 주민번호 털렸냐 아니냐 이 부분 얘기해주실 수 있는지? 지금 SKT에선 민감정보 유출되지 않았다고 일관되게 얘기하는데...

"유심의 개인정보성에 대해서 계속 조사중이라고 말씀드리는게...이름, 주민번호 이런 것은 조사해봐야 나올 것 같고, 아직까지는 100% 확실하게 말씀드리기는 어려운 것 같다."

-SK텔레콤에서 여러 대책을 내놓고 있는데, 유심보호 서비스 가입하면 100% 안전한 대책인지, 유심교체하는 것도 맞는지, 오늘 백업하는 것도 발표했는데, 일련의 대책들을 소비자 입장에서 어디까지 해야하는지?

"유심 주무부처는 과기부기 때문에, 유심 관련해선 과기부가 발표했기 때문에 그 부분 참고하셔야 할 것 같다. 어제 국회 정무위에서 똑같은 질문이 많이 나왔는데, 삼성전자는 안심서비스로는 안되어서 교체하라는 얘기까지 나왔기 때문에, 에스케이에서 국민 불안을 이해하시고, 2차 피해가 생기면 안 될 거 같다. 2차 피해를 막기 위해서, 일부 금융기관들이 인증을 막은 기관이 일부 있고, 여러가지 인증서비스가 있잖습니까. 2차피해를 막기 위해서 할 수 있는 역할이 있으면 관련 기관 협의해서, 하여튼 2차피해 막기 위해 나름의 역할을 해보려고 생각하고 있다."

-엘지유플하고 비교하기 어렵다고 말씀하셨다. 더 설명 가능한지 궁금하다. 2차피해를 막기 위해 개보위가 할 수 있는 것은?

"에스케이티는 메인서버 해킹당했고, 엘지는 부가서비스를 당했다. 엘지는 기본적으로 오래전 것이고, 사실 저희가 처분 어려웠던게, 해킹경로 파악하기 어려웠는데, 에스케이티는 그런게 아니어서 차이가 있고. 그리고 법 개정 전후가 있기 때문에, 관련 매출액의 3%였지만, 에스케이티는 전체매출에서 관련 없는 매출을 빼는 구조여서 차이가 있다. 여러 부처가 관련된 문제기 때문에, 과기부는 통신정책을 하지만, 금융기관 문제는 금융위로 나뉘어 있고, 그 외 인증수단도 부처별로 나뉘어 있기 때문에, 개보위가 중심이 되어서 2차피해 방지 위한 회의를 해서, 한 군데 모아서 필요하면 회의를 해볼 생각하고 있다."

-이른 시점이긴 한데, 개보위에서 과징금 매기시는 것에 대해선 안전성 조치를 제대로 했느냐가 관건인데, 현재 조사결과에서, 안전성을 어느정도 소홀했다는 얘기도 있다. 서버보안쪽이 소홀했다는 얘기가 있는데 어떤가?

"1위 통신사의 메인서버가 해킹당했다는 것 자체가 굉장히 상징적인 것 같다. 외관상으론 안전조치가 부족하지 않았나 생각이 들지만, 조사를 해봐야 하는 상황이고. 조사를 선입견 가지고 하는 것은 아니기 때문에, 개연성이 1위 통신사 서버가 해킹됐다고 하면 부족했을 가능성이 있지만, 확신해서 말씀은 못드리지만 개연성은 충분히 있다고 하겠다."

-전체매출 3%면 어마어마한 금액인데, 감경기준도 있는지

"있다."

-최대 인정된다면 최대 얼마일지?

"굉장히 복잡한 계산이고, 일단 가장 큰 게, 관련 없는 매출액을 빼야하는데, 일단 메인서버기 때문에, 엘지유플은 부가서비스기 때문에 매출 차지하는게 크지 않지만, 근데 에스케이는 메인서버기 때문에 커버리지가 더 넓다고 보이고, 1차 위반이냐 2차 위반이냐, 어느정도 조사협력했냐, 감경사유가 있어. 아직까지 전체 매출액의 3%에서 빼주고 등 과징금 추측하기가 시기가 너무 빠르다고 생각한다."

-과기부 발표한 유출내역 중에서, 개인정보위가 과거 개인정보성을 인정한 항목이 있는지?

"몇개 있는 것 같은데, 제가 못 봤다. 과기부에서도 개인정보성을 부인하지 않는 것도 있는 것으로 알고 있다. 유심에 포함하는게, 개인정보라고 봐도 무관하다고 생각하고 있다."

-지금 에스케이티에서 설명하는 것과 톤 차이가 있는데, 메인서버 해킹이라고 말씀하셨는데, 에스케이티에선 메인서버 아니라거든요. 어쨌든 타고 들어가서 민감정보 해킹하는 것도 생각해볼 수 있는데 말씀주 실 수 있는 부분은?

"(조사조정국장) 메인서버에서 유출이 있었다고 보시면 되고, 다만 유출 경위 대상 항목을 조사 중이기 때문에... (최 부위원장) 왜 부정했는지 모르겠는데, 메인서버에서 유출이 있었다고 보는게 맞는 것 같다."

-에스케이티에서 연결된 모바일 앱 인증서비스들이 있는데, 거기서도 문제가 발생할 여지 있는지?

"저희 조사는 일단 에스케이티 위주로 하고 있기 때문에, 그 부분은 추가로 고려해보겠다."

-혹시 과기부처럼 1차 조사결과를 중간에 발표할 계획은?

"저희도 어느정도 나오면 고려하고 있다. 시점은 아직 확답을 못드리는데, 중간결과라도 한번 말씀드릴 기회를 만들어보도록 하겠다."

-매출 기준 3%면 3000억 정도 되는데, 피해자를 위해 쓰는게 없다는 목소리도 있다. 3% 기준이면 글로벌 기업으로부터도 받게 될텐데 소비자를 위해서 쓰는 방법은 없나?

"기금에 출연하는 방식이 될 수 있을텐데, 예산당국과 협의해야 한다. 옛날에 정보통신 기금 모으듯이 개인정보 기금을 만들어서 인프라 투자와 관련한 선순환 구조를 만들 수 있을지는 과기부와 상의해보겠다. 방향은 바람직하다고 생각한다."

-마이데이터 사업 집중도 떨어질 것 같은데...

"마이데이터 대표적인게 통신, 의료인데, 걱정을 하고 있다. 빨리 조사 마무리지어서, 통신데이터가 왔다갔다해도 국민들이 안심하셔도 되게, 영향 미칠 것 같아 걱정돼서 많이 준비하고 있다. 전반적으로 국내 대기업 포함해서, 개인정보에 대한 많은 관심과 투자, 인력배치를 해서 개인정보 수준 한 단계 높이고, 그를 기반으로 마이데이터 산업을 융성해야 우리가 꿈꾸는 세상이 열릴 것 같다.

한번의 유출사고가, AI 시대에 데이터가 활발하게 돌아야 되는데, 굉장히 움츠러든다. 개인정보 분야 많은 예산투자와 인력배치가 있어야 신뢰가 되면서 선순환 구조가 되는데, 개보위가 앞장서서 많은 투자나 인력배치가 이뤄질 수 있도록 노력하겠다."