SK텔레콤의 유심(USIM·가입자 식별 모듈) 해킹 사태로 2300만 가입자들의 불안이 일파만파 확산하는 가운데, 과거 대규모 고객 정보 유출을 겪은 미국 통신사들의 거액 배상 사례가 재조명되고 있다. 1일 국회 등에 따르면 과학기술정보방송통신위원회는 오는 8일 SK텔레콤 유심 해킹 사건을 다루는 청문회를 열기로 하고 최태원 SK그룹 회장을 증인으로 채택했다. 2020년대 들어 고객 정보 유출 사고가 발생한 미국 지역 대형 통신사로는 T모바일, AT&T 등이 있다. 미국 3대 이동통신사 중 하나인 T모바일은 지난 2021년 전·현 고객 및 잠재적 고객 7660만명 이상의 이름, 생년월일, 사회보장번호, 운전면허증 번호 등이 포함된 신용조회 데이터가 대거 유출돼 파문이 일었다. T모바일은 공격 사실을 알림과 동시에 모든 고객에게 이메일과 문자 알림을 발송하고, 피해 여부와 관계없이 2년간 맥아피의 보안 서비스를 무료로 제공하기로 했다. 소비자들은 법원에 T모바일을 상대로 소송을 제기했고, T모바일은 소비자에게 3억 5000만 달러(약 4590억원)를 배상하기로 합의했다. 이에 따라 T모바일 고객들은 피해 규모에 따라 1인당 최대 2만 5000달러(약 3200만원)의 보상을 받게 됐다. T모바일은 이와 별개로 2023년까지 1억 5000만 달러(약 2000억원)를 자사 사이버 보안 분야에 투입하기로 했다. 이외에도 점유율 기준 미국 1위 통신사 AT&T도 여러 차례 고객 정보 유출 사건에 휘말렸다. AT&T는 2023년 외주 마케팅 업체 클라우드 저장소에서 고객 890만명의 이름, 무선전화 번호, 회선 수, 통화량, 요금제 등이 담긴 고객 독점 네트워크 정보(CPNI)가 유출됐다. 이에 AT&T는 미국 연방통신위원회(FCC)에 1300만 달러(약 170억원) 규모의 과징금을 지급해야 했다. 국내서는 카카오 ‘오픈 채팅 개인정보 유출’ 사건 151억원 과징금이 최대반면 한국의 경우 개인정보 대량 유출 사고에 대한 과징금 규모가 작아 ‘일벌백계’가 필요하다는 지적이 끊임없이 나오고 있다. 개인정보보호위원회는 지난 2023년 7월 해킹 공격으로 약 30만건의 고객 정보를 유출한 LG유플러스에 68억원의 과징금을 부과했다. 카카오는 지난해 카카오톡 오픈 채팅 기능의 보안 취약점으로 이용자 개인정보 6만 5000건이 유출된 것과 관련해 151억원의 과징금을 물었는데, 이는 기업에 부과된 개인정보 유출 관련 과징금 액수 중 역대 최고치다. 이런 가운데 SKT 사태에 내려질 과징금 규모에도 관심이 쏠린다. 최장혁 개인정보보호위원회 부위원장은 지난달 29일 정례 브리핑에서 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 매우 다를 것”이라며 더 높은 액수의 과징금 부과 가능성을 시사했다. 지난 2023년 9월 개정된 개인정보 보호법은 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’에서 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 기업이 직접 위반 행위와 관련 없는 매출액을 증명해야 하기에, 과징금 부담이 커졌다는 분석이 나온다.

비회원사 포함하면 1억 건 넘어금감원 검사 대상 4만 2000여 곳“금융권 보안체계 강화 서둘러야”北 소행 많아 ‘접속 원천 차단’ 강력 대응‘여신거래 차단’ 1주일간 45만명 SK텔레콤 유심(USIM) 정보 해킹 사태로 ‘해킹 포비아(공포증)’가 확산하는 가운데 지난해 국내 금융 업체를 대상으로 한 해킹 시도가 6800만 건에 육박한 것으로 나타났다. 올해에도 이달 말 현재 이미 1000만건을 훌쩍 넘는 해킹 시도가 금융사들을 겨냥했다. 연간 수천만 건의 해킹 범죄가 국민들의 지갑을 위협하고 있는 셈이다. 30일 금융위원회 산하 금융보안원에 따르면 지난해 금융보안원 회원사 200곳을 대상으로 한 해킹 시도 건수는 6782만 6211건으로 집계됐다. 올해 들어서도 이달 28일까지 이미 1093만 8452건의 해킹시도가 있었던 것으로 파악됐다. 금융보안원은 회원사들을 상대로 사고예방 체계 구축 및 운영, 기술지원 등의 보안 솔루션을 제공하고 있다. 최근엔 국내 대표 가상자산(암호화폐) 거래소인 업비트와 빗썸도 회원사 가입을 신청했다. 가장 많은 해킹을 시도하는 주체는 북한이다. 대부분 인터넷주소(IP)를 숨기고 해킹을 시도하기 때문에 통계에 직접적으로 드러나진 않지만 해킹 수법과 주로 활용하는 IP대역 등을 통해 분석한 결과다. 국내 금융사 뿐만 아니라 해외 기관 및 기업에 대한 해킹 시도 중에서도 북한 해커들이 차지하는 비중이 가장 높다. 워낙 시도가 많다보니 금융보안원은 아예 북한 해커들이 주로 활용하는 IP대역의 접속을 원천 차단하는 방식으로 대응 중이다. 금융보안원 관계자는 “최근 클라우드와 인터넷주소(IP) 우회기술이 발달해 해킹 시도 주체를 특정하기 어렵지만 해킹 수법과 주로 활용하는 IP 대역 등을 분석했을 때 북한 소행으로 추정되는 건이 가장 많았다”며 “북한 해커들이 많이 활용하는 IP의 접속은 아예 차단해둔 상태”라고 설명했다. 금융보안원의 회원사가 아닌 기타 금융사까지 범위를 넓히면 전체 금융사를 상대로 한 해킹 시도는 지난해에만 1억건을 훌쩍 넘어서는 것으로 추정된다. 지난해 말 기준 금융감독원의 검사대상기관으로 분류된 금융회사는 총 4만 2053곳이다. 여기엔 소비자 대상 영업을 하지 않거나 주요 해킹 표적인 전자금융업을 영위하지 않는 기업들도 있지만 소비자들의 ‘쌈짓돈’을 관리하는 중소 규모 저축은행이나 증권사 등도 포함돼 있다. 최근 해킹 피해가 발생한 보험대리점(GA) 하나금융파인드와 유퍼스트도 금융보안원 관리의 사각지대에 있는 금융회사들이다. 한편 SK텔레콤 유심 정보 해킹 사태 이후 시중은행에는 비대면 계좌 개설과 대출 등을 막는 안심차단서비스 가입 신청이 폭증세다. 비대면 계좌개설 차단 서비스는 지난 21일까지 일평균 4500명이 신청했으나 SK텔레콤의 사고 발표 이후인 22일부터 28일까지 약 35만명이 서비스를 신청했다. 여신거래 차단 서비스에는 같은 기간 45만명이 몰렸다. 금융당국은 금융권 전반의 해킹 대응을 강화하기 위해 이세훈 금감원 수석부원장 직속으로 비상대응본부를 꾸리고 일단위로 업계 특이사항을 취합하기로 했다. 관계자는 “부정 인증 사례가 늘어나는 등 이상 징후는 포착된 바 없다”고 말했다. 염흥열 순천향대 정보보호학과 교수는 “통신사 보안을 뚫을 정도의 기술이라면 금융사에도 위협으로 작용할 가능성이 크다”며 “금융권 보안체계 강화가 시급하다”고 말했다.

두 달 동안 유심 1000만개 추가 확보“최태원 회장도 보호 서비스만 가입”임직원에 “교체 대신 보호서비스를” 유영상 SK텔레콤 대표가 30일 가입자의 유심(USIM·가입자 식별 모듈) 정보 등이 탈취된 해킹 공격에 대해 “역사상 최악의 해킹 사고라는 점에 동의한다”고 밝혔다. SK텔레콤은 2500만명에 달하는 전체 가입자 정보가 유출됐을 가능성까지 염두에 두고 준비하고 있다고 했다. 유 대표는 이날 국회 과학기술정보방송통신위원회의 ‘방송통신 분야 청문회’에 증인으로 출석해 의원들의 질의에 이렇게 답했다. 그는 전체 가입자 정보 유출 가능성을 묻는 최수진 국민의힘 의원의 질문에 “최악의 경우 그럴 수 있다고 가정하고 준비하는 중”이라고 답했다. SK텔레콤 망을 이용하는 가입자 수는 알뜰폰 회선을 포함해 2500만명으로 추산된다. SK텔레콤이 현재 확보한 유심 재고는 100만개 수준으로, 유 대표는 5월과 6월에 각각 500만개의 유심을 추가 확보하겠다고 밝혔다. 이번 해킹 사태로 지난 28일부터 이틀간 7만명이 넘는 가입자가 SK텔레콤에서 다른 통신사로 이탈한 것으로 나타난 가운데 일부 의원은 SK텔레콤 가입자가 계약을 해지할 경우 위약금 납부 면제를 검토해야 한다고 지적했다. 또 이와 관련해 과방위는 최태원 SK그룹 회장을 청문회 증인으로 채택했다. 유 대표는 해킹 사건 이후 유심을 교체했느냐는 최민희 과방위원장 질문에 “유심을 바꾸지 않았고 유심 보호 서비스에 가입했다. 그것으로 충분하다고 생각한다”고 답했다. 최 회장과 최창원 SK수펙스추구협의회 의장도 유심을 교체하지 않았다고 유 대표는 전했다. 유 대표는 이날 SK그룹 내부망에도 게시글을 올려 임직원에게 유심 교체 대신 유심 보호 서비스를 이용해 달라고 공지했다. 금융자산 탈취 가능성 등 해킹 피해에 대한 우려가 좀처럼 가시지 않고 있지만 SK텔레콤과 전문가들은 유심 보호 서비스만으로도 이를 막을 수 있다고 재차 강조했다. 탈취된 유심 정보에는 주민등록번호나 주소, 계좌번호 등이 담겨 있지 않아 유심 복제만으로 은행이나 가상자산 계좌가 탈취되긴 어렵다는 설명이다. 전날 과학기술정보통신부는 1차 조사 결과 가입자 전화번호 및 식별번호(IMSI)가 유출됐지만 단말기 고유식별번호(IMEI)는 유출되지 않았다고 밝혔다. 김승주 고려대 정보보호대학원 교수는 “유심만으로 계좌 복제나 자산 탈취는 불가능하다”며 “유심이 복제됐다 하더라도 유심 보호 서비스에 가입돼 있다면 복제폰을 만들어 낼 수 없다”고 설명했다.

경기주택도시공사(GH)는 개인정보보호위원회가 발표한 ‘2024년 공공기관 개인정보 보호 수준 평가’에서 최고 등급(S)을 받았다고 30일 밝혔다. 평가 대상은 중앙행정기관, 지방자치단체, 공기업 등 총 1,426개 공공기관을 대상으로 한 평가에서 GH는 90.13점으로 S,A,B,C,D 5등급 중 최고인 S 등급을 받았다. 전체 기관 평균 점수는 77.6점이었다. 이번 평가는 ‘개인정보 보호법’ 개정에 따라 기존 ‘공공기관 개인정보 관리수준 진단’이 평가제로 전환·확대된 후 처음으로 실시됐다. 이전 진단보다 평가의 공정성과 신뢰성이 한층 강화됐으며, 기관별 개인정보 보호체계 구축 수준과 관리 실태를 종합적으로 평가했다. GH는 개인정보 보호 정책 수립, 안전조치 이행, 신기술 대응 노력 등 모든 항목에서 높은 점수를 받았고, 특히 ‘신기술 환경에서의 개인정보의 안전한 활용 및 안전조치’에서 가점을 받았다. 경기도에서 S등급을 받은 기관은 GH가 유일하다. 이종선 사장 직무대행은 “개인정보 보호는 공공기관의 신뢰와 직결되는 사항으로, 이번 S등급 획득으로 공사의 개인정보 보호노력 및 성과를 인정받아 매우 뜻깊게 생각한다”라며 “도민의 개인정보를 더욱 안전하게 보호하고, 신뢰받는 공공기관으로 자리매김하겠다”라고 밝혔다.

SK텔레콤 유심(USIM) 정보 유출로 가입자들의 피해가 우려되면서 법무법인 대륜이 피해자들을 모아 집단소송에 나선다고 30일 밝혔다. SK텔레콤은 지난 19일 해커의 악성코드 공격으로 가입자 유심 정보 유출 정황을 발견하고 확인을 거쳐 한국인터넷진흥원(KISA)에 침해 사실을 보고했다. 현재 가입자 2300만명을 대상으로 유심 무상 교체를 진행하고 있지만, 유심 재고 부족으로 혼란이 커지고 있다. 또 해킹을 인지한 뒤 하루가 지나서야 힌국인터넷진흥원(KISA)에 침해 사실을 알려 지연 보고 의혹도 인다. 한국인터넷진흥원은 침해 사고가 발생하면 24시간 안에 보고하도록 하고 있다. 대륜은 개인정보보호와 IT분야 전문 변호사를 중심으로 ‘SKT 개인정보 유출’ 전담 태스크포스(TF)를 구성해 대응에 나섰다. TF는 개인정보 유출에 따른 집단 손해배상 청구와 피해 회복을 위한 모든 법적 절차를 담당한다. 특히 SK텔레콤 본사 관할 경찰서에 위계공무집행방해 등으로 고발장을 제출할 예정이다. 이번 유출 사태와 관련해 명확한 책임을 묻고 사건의 실체를 밝히기 위해서다. 대륜은 또 정확한 피해 확인을 위해 디지털포렌식센터 소속 전문가도 TF에 투입해 조사를 진행한다. 피해자의 직·간접 피해 입증을 위한 분석, 대응 계획 수립을 완료한 상태다. 추후에는 신청자에 한해 유심 발급 이력, 기기 정보, 통신 관련 기초자료를 제출받아 이상 징후를 발견하면 추가 심층 분석을 실시해 피해 입증을 지원할 방침이다. SKT 개인정보유출 집단소송 참가 신청은 법무법인 대륜 홈페이지(https://www.daeryunlaw.com/suit)에서 할 수 있다. 김국일 대륜 경영총괄대표는 “이미 개인정보가 탈취된 상황에서는 어떤 피해가 발생할지 예측하기 어렵고, 피해 규모는 더욱 커질 것으로 보인다. 피해가 발생하면 유심 정보 유출에 따른 피해임을 직접 입증하고, 그 후에야 보상 절차를 시작할 수 있을 것으로 판단된다”라고 말했다. 그러면서 “집단소송을 통해 피해자가 정당한 보상을 받을 수 있도록 최선을 다해 지원하고, SK텔레콤에 명확한 책임을 묻겠다”라고 밝혔다. 한편, 대륜은 티몬·위메프, 갤러리K 사태 등에서도 피해자의 편에서 집단소송을 진행했다.

“압구정역 SK대리점에서 유심 구매 대리 줄서기 해 주실 분 구합니다.” SK텔레콤이 유심(USIM·가입자 식별 모듈) 무상 교체를 시작한 가운데 T월드(SK텔레콤 대리점)에서 대신 줄을 설 아르바이트를 구하는 글까지 등장했다. 29일 업계에 따르면 중고 거래 플랫폼 당근마켓에는 최근 ‘SK대리점 줄서기’라는 제목의 구인 글이 게시됐다. “오전 7시 30분부터 9시 40분까지 줄을 서 있다가 교대해 줄 사람을 구한다”며 “총 5만원을 주겠다”는 제안에 순식간에 지원자 12명이 모이기도 했다. 한정된 유심 재고 탓에 불안한 가입자들이 돈을 들여 자구책까지 찾는 모습이다. 유심 교체 이틀째인 이날도 전국 T월드 인근은 시민들로 장사진을 이뤘다. 특히 농어촌에 사는 고령층은 어디에서 어떻게 유심을 교체해야 할지 몰라 혼란이 더 컸다. 낯선 온라인 예약 서비스를 이용하기 어려워 읍내에서 하나뿐인 대리점을 찾았지만 대부분 빈손으로 돌아갔다. 이날 경기 연천군 전곡읍에서 하나뿐인 T월드에는 60~80대 10여명 등 총 30여명이 줄을 서 있었다. 성완용(84)씨는 서울신문과 만나 “거동이 불편한 우리 같은 노인들은 밖에 나오는 것 자체가 힘든데 찾아와서 (유심을) 갈아 줘야 하는 것 아니냐”면서 “휴대전화를 산 매장에서는 대리점으로 가라고 해서 시내를 돌아다니다가 결국 집으로 돌아왔다”며 분통을 터뜨렸다. 휠체어를 탄 노모와 함께 서성이던 A씨는 “어머니는 오래 기다리기 힘들다”며 발길을 돌렸다. 잠시 뒤 직원이 “유심이 없으니 3일 뒤 안내 문자를 받으면 다시 와 달라”고 하자 곳곳에서 한숨이 터져 나왔다. 신모(49)씨는 “통신사 애플리케이션도 버벅대고 고객센터도 전화가 잘 안 돼 온 가족이 애를 먹고 있다”고 토로했다. SK텔레콤을 상대로 한 소비자 집단소송도 진행될 것으로 보인다. ‘SKT 유심 정보 유출 피해자 권리 구제를 위한 집단소송’을 추진 중인 로피드 법률사무소는 이날 오후 2시 기준 소송 참여 신청자가 1300명을 돌파했다고 밝혔다. 다만 SK텔레콤이 보안·관리 감독 등 개인정보보호 의무를 소홀히 했다는 점이 구체적으로 입증돼야 할 것으로 보인다. 앞서 KT가 해킹당해 2012년 약 870만명, 2014년 약 1200만명의 개인정보가 유출된 사건에서는 법원이 “KT가 기술적·관리적 보호조치를 했다”며 배상 책임을 인정하지 않았다.

휴대전화·태블릿PC·공유기 명시SKT 자체 관리용 정보 21종 유출단말기 고유식별번호는 유출 안 돼개인정보위 “메인 서버서 정보 유출”SKT ‘유심 포맷 방식’ 기술 개발 중과기장관 “늦게 신고, 처벌받을 것” SK텔레콤의 유심(USIM) 정보 해킹 사고로 기업에 이어 정부도 업무용 기기의 유심 교체를 권고했다. SK텔레콤은 유심 재고 물량 부족을 해결하기 위해 다음달 유심 교체 효과를 낼 수 있는 유심 포맷 방식을 적용하겠다고 밝혔다. 29일 국가정보원은 전날 19개 부처 및 공공·산하 기관에 업무용 기기의 SK텔레콤 유심 교체를 권고하는 공문을 보냈다. SK텔레콤 망을 사용하는 업무용 휴대전화·태블릿PC, 4G·5G 에그 등 모바일 단말기기의 유심을 교체하라는 내용이다. 유심 교체 이전까지는 ‘유심 보호 서비스’에 가입하도록 했다. SK텔레콤에 따르면 유심 보호 서비스 가입 건수는 이날 오후 8시 기준 1000만건을 넘어섰다. 이 회사 가입자 960만명, 알뜰폰 가입자 40만명이다. 이처럼 가입자 불안이 가중되자 금융당국은 30일 비상대응회의 소집에 나선다. 과학기술정보통신부가 이날 발표한 민관합동조사단의 1차 조사 결과에 따르면 SK텔레콤에서 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 정보 4종의 유출이 확인됐다. 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종의 유출도 드러났다. 다만 단말기 고유식별번호(IMEI)는 유출되지 않았다. 유심 보호 서비스만 가입하면 ‘심 스와핑’은 방지된다는 의미다. 심 스와핑이란 유출된 유심 정보를 다른 휴대전화에 도용·복제해 피해자의 은행 계좌를 탈취한 뒤 자산을 훔치는 해킹 범죄다. 개인정보보호위원회는 이번 해킹을 메인 서버에서 일어난 것으로 봤다. 최장혁 부위원장은 이날 정례 브리핑을 통해 “메인 서버에서 (개인정보) 유출이 있었다고 본다”며 과징금 규모에 대해선 “(2023년 발생한) LG유플러스 때와는 차원이 다를 것”이라고 했다. SK텔레콤은 다음달 중순 적용을 목표로 유심 소프트웨어를 변경해 유심 교체 효과를 낼 수 있는 유심 포맷 방식을 개발하고 있다고 밝혔다. 다만 유심 포맷 역시 이용자가 매장을 방문해 유심 변경과 관련한 시스템 매칭 작업을 거쳐야 한다. 이번 사태로 SK텔레콤에서 이탈하는 가입자는 점차 늘어나는 추세다. 무상 유심 교체가 시행된 전날 SK텔레콤에서는 3만 4132명이 다른 통신사로 이동했다. 다만 8729명이 SK텔레콤으로 오면서 실제 순감은 2만 5403명이었다. 유상임 과기정통부 장관이 “(SK텔레콤이) 하루 정도 더 늦게 신고한 점은 거기에 합당한 처벌을 받을 것”이라고 말한 가운데 유심 해킹 사태와 관련해 유영상 SK텔레콤 대표이사는 30일 국회 과학기술정보방송통신위원회 청문회에 출석할 예정이다.

고령층은 ‘대리점’과 ‘매장’ 혼란집단소송 신청자 1300명 넘어 “압구정역 SK대리점에서 유심 구매 대리 줄서기 해주실 분 구합니다.” SK텔레콤이 유심(USIM·가입자 식별 모듈) 무상 교체를 시작한 가운데 T월드(SK텔레콤 대리점)에서 대신 줄을 설 아르바이트를 구하는 글까지 등장했다. 29일 업계에 따르면, 중고거래 플랫폼 당근마켓에는 최근 ‘SK대리점 줄 서기’라는 제목의 구인 글이 게시됐다. “오전 7시 30분부터 9시 40분까지 줄을 서 있다가 바꿔줄 사람을 구한다”며 “총 5만원을 주겠다”는 제안에 순식간에 지원자 12명이 모이기도 했다. 한정된 유심 재고 탓에 불안한 가입자들이 돈을 들여 자구책까지 찾는 모습이다. 유심 교체 이틀째인 이날도 전국 T월드 인근은 시민들로 장사진을 이뤘다. 특히 농어촌에 사는 고령층은 어디에서 어떻게 유심을 교체해야 할지 몰라 혼란이 더 컸다. 낯선 온라인 예약 서비스를 이용하기 어려워 읍내에서 하나뿐인 대리점을 찾았지만, 대부분 빈손으로 돌아갔다. 이날 경기 연천군 전곡읍에 하나뿐인 T월드에는 60~80대 10여명 등 총 30여명이 줄을 서 있었다. 성완용(84)씨는서울신문과 만나 “거동이 불편한 우리 같은 노인들은 밖에 나오는 것 자체가 힘든데 찾아와서 (유심을) 갈아줘야 하는 것 아니냐”며 “휴대전화를 산 매장에서는 대리점으로 가라고 해서 시내를 돌아다니다가 결국 집에 돌아왔다”며 분통을 터뜨렸다. 휠체어를 탄 노모와 서성이던 A씨는 “어머니는 오래 기다리기 힘들다”며 발길을 돌렸다. 잠시 뒤 직원이 “유심이 없으니 3일 뒤 안내 문자를 받고 다시 와달라”고 설명하자, 곳곳에서 한숨이 터져나왔다. 신모(49)씨는 “온 가족이 통신사 애플리케이션도 버벅대고 고객센터도 전화가 잘 안 된다”고 토로했다. SK텔레콤을 상대로 소비자 집단소송도 진행될 것으로 보인다. ‘SKT 유심 정보 유출 피해자 권리 구제를 위한 집단소송’을 추진 중인 로피드 법률사무소는 이날 오후 2시 기준 소송 참가 신청자가 1300명을 돌파했다고 밝혔다. 다만 SK텔레콤이 보안·관리 감독 등 개인정보보호 의무를 소홀히 했다는 점이 구체적으로 입증돼야 할 것으로 보인다. 앞서 KT가 해킹당해 2012년 약 870만명, 2014년 약 1200만명의 개인정보가 유출된 사건에선 법원이 “KT가 기술적·관리적 보호조치를 했다”며 배상 책임을 인정하지 않았다.

SK텔레콤의 유심(USIM·가입자 식별 모듈) 해킹 사태로 2300만 가입자들의 불안이 일파만파 확산되는 가운데, 이번 해킹 공격으로 유출된 정보가 책 9000권 분량에 달한다는 조사 결과가 나왔다. 정치권과 소비자단체가 SK텔레콤에 책임 있는 대응을 촉구하고 나선 가운데 법조계에서도 집단소송에 본격 나서고 있다. 29일 최민희 국회 과학기술정보방송통신위원장은 SK텔레콤 해킹 사태로 유출된 데이터 양이 9.7기가바이트(GB)에 달한다고 밝혔다. 이를 문서 파일로 환산하면 300쪽 분량의 책 9000권(약 270만쪽)에 달하는 방대한 양이라고 최 위원장은 설명했다. 최 위원장에 따르면 지난 18일 오후 6시 9분 SK텔레콤 보안관제센터에서 비정상적 데이터 이동이 처음 감지됐으며, 이때 이동한 데이터에는 유심 관련 핵심 정보도 포함됐다. 이에 SK텔레콤은 다음날인 19일 오전 1시 40분 악성코드가 발견된 과금 분석 장비를 격리하고 침입 경로 및 유출 데이터 분석에 나섰다. 이어 이날 오후 11시 40분 홈가입자서버(HSS)의 데이터 유출이 의심되는 정황을 확인했다. HSS는 4G 및 5G 가입자가 음성 통화를 이용할 때 단말 인증을 수행한다. 가입자들은 민감한 개인정보가 대거 유출된 것으로도 모자라 후속 조치인 유심 교체를 위해 발품을 하는 불편마저 겪으면서 분통을 터뜨리고 있다. 이에 SK텔레콤의 책임있는 대응을 요구하는 목소리가 높아지는 한편, 통신사의 책임을 묻는 집단소송도 본격화하고 있다. 노바법률사무소 대표변호사이자 유튜버인 이돈호 변호사는 “나도 SK텔레콤 가입자”라면서 집단소송에 나서겠다고 밝혔다. 이 변호사는 전날 자신의 유튜브 방송에서 “2300만명이 가입된 1위 업체가 개인정보 유출되면 피해가 크기 때문에 사고 대비를 했어야 했고, 대비를 못 했다면 추후 대응도 만족스러울 정도로 했어야 했다”면서 “나 역시 가입자지만 해킹 관련 메시지나 공지 등도 전혀 없이 뉴스를 보고 알았다”고 지적했다. 이돈호 변호사 “나도 뉴스 보고 알아” 분통이 변호사는 구글이 자사의 소셜미디어(SNS) ‘버즈’의 사생활 침해 관련 집단소송 사례를 들며 “징벌적 손해배상이 필요하다”고 강조했다. 앞서 2010년 버즈는 구글의 G메일 사용자들이 자주 쓰는 이메일 주소를 사용자들의 동의를 얻지 않고 자동으로 공개해 서비스를 하다 시민단체에 피소됐다. 법정 공방 끝에 구글은 원고 측에 850만 달러(122억원)를 배상하기로 합의했다. 법무법인 대건도 집단소송에 나섰다. 대건은 “SK텔레콤에 대한 책임을 묻고 피해자들의 권리를 지키기 위한 집단소송”이라면서 “피해자들의 경제적 부담을 최소화하고자 참가비나 소송 비용을 일체 청구하지 않을 것”이라고 밝혔다. 그러면서 “단순한 금전적 보상을 넘어 기업이 개인정보를 얼마나 무겁게 다뤄야 하는지를 사회에 알리고 피해자 권익 보호를 위한 제도적 기반을 마련하는 데 중요한 의미”라고 설명했다. 구글은 개인정보 유출로 120억원 배상정치권은 정부와 SK텔레콤에 “명확한 책임을 묻겠다”며 경고하고 나섰다. 이정문 더불어민주당 정책위원회 수석부의장은 이날 국회에서 열린 원내대책회의에서 “정부와 SK텔레콤은 다시는 이런 불상사가 발생하지 않도록 근본적인 대책 마련에 힘써야 한다”며 “원인을 철저히 분석하고 책임 소재를 명확히 해 엄중히 처벌해야 한다”고 촉구했다. 민주당은 오는 30일 열리는 국회 과방위의 YTN 등 방송통신분야 청문회에 유영상 SK텔레콤 대표이사 등을 증인으로 채택하는 방안을 추진하기로 했다. 김상훈 국민의힘 정책위의장도 이날 “국내 통신시장의 핵심인 SK텔레콤이 기본적 정보보호도 제대로 수행하지 못한 점은 매우 심각한 문제”라며 “기업이 정보 보호 의무를 다하지 않아 발생한 사고에 대해서는 명확한 책임을 묻고 실질적 대응책을 마련해야 한다”고 강조했다.

오픈런·번호표에도 물량 동나 ‘허탕’온라인 예약 263만명… 이탈 러시도비정상 유출 데이터양 9.7GB 달해“해킹 조사 결과 1년 이상 걸릴 수도”대기업 이어 경찰 업무폰 유심 교체 SK텔레콤이 유심(USIM·가입자 식별 모듈) 무료 교체를 시작한 28일 전국 T월드(SK텔레콤 대리점)에선 이른 아침부터 대기 줄이 길게 늘어서며 북새통을 이뤘다. 한정된 재고 물량 탓에 많은 고객이 발길을 돌려야 했다. 일부 대리점에선 헛걸음한 고객이 회사와 직원들의 대응 방식을 문제 삼으며 고성을 내기도 했다. 고객들은 SK텔레콤이 “유심 교체를 대체할 수 있다”고 공언한 ‘유심 보호 서비스’ 가입에 나섰지만 이 또한 녹록지 않았다. 수십만명이 동시에 접속하면서 예상 대기 시간이 급속도로 늘어났기 때문이다. 이날 오후 6시 기준 유심 교체를 완료한 이용자는 23만명, 온라인을 통해 유심 교체를 예약한 이용자는 263만명으로 집계됐다. 이번 사태로 SK텔레콤 가입자 일부가 다른 이통사로 이탈하는 가운데, 집단행동 움직임도 감지되고 있다. 금융권에선 혹시 모를 피해에 대비해 SK텔레콤의 본인 인증을 중단했다. SK텔레콤의 주가는 전일 대비 6.75% 하락한 5만 3900원에 거래를 마쳤다. 이날 서울 은평구의 한 T월드에선 오전 8시부터 ‘오픈 런’이 시작됐다. 그러나 해당 대리점이 보유한 유심 물량은 190개. 개점 시간(오전 10시)보다 1시간 일찍 문을 연 직원들이 서둘러 번호표를 나눠 주기 시작했고, 불과 30분 만에 하루치 재고가 동났다. 가입자들은 유심 정보 유출 사실은커녕 유심 교체 안내 등을 제대로 전달받지 못한 데 대해 분통을 터뜨렸다. 직장인 강정미(42)씨는 “유심이 해킹된 건 매우 심각한 일인데 SK텔레콤에서 문자 한 통 받지 못했다”면서 “뉴스를 통해 이런 정보를 접하지 못하는 고령층은 어떻게 해야 하느냐”고 지적했다. SK텔레콤은 지난 25일부터 매일 500만명씩 순차적으로 유심 보호 서비스 안내 문자를 보내고 있다고 전했다. 최민희 국회 과학기술정보방송통신위원회 위원장이 SK텔레콤으로부터 지난 24일 제출받은 자료에 따르면 이번 해킹으로 인해 비정상적으로 SK텔레콤의 보안관제센터에서 망관제센터로 이동한 데이터양은 9.7GB에 달했다. 이는 문서로 수백만장 분량에 해당한다. 이번 사태로 SK텔레콤에서 이탈하는 가입자도 느는 추세다. 지난 26일 SK텔레콤 가입자 1665명이 다른 통신사로 이동했는데, 이달 들어 가입자 이탈이 가장 많았던 날도 200명이 넘지 않았었다. 일부 가입자들은 이번 사태에 대한 진상 규명을 요구하며 공동 대응 사이트인 ‘SK텔레콤 유심 해킹 공동 대응 공식 홈페이지’를 개설했다. 사이트 운영진은 5만명 이상을 목표로 국회 국민동의 청원도 진행 중이다. 사고 조사 결과가 당장 나오지는 않을 전망이다. 이날 고학수 개인정보보호위원장은 “(결과는) 보통 짧게 걸리면 2~3개월, 시스템이 복잡한 경우 1년 이상 걸린다”고 밝혔다. 앞서 삼성·현대차·포스코·한화·HD현대 등이 자사 임직원에게 유심 교체를 권고한 데 이어 이날 네이버·카카오·NHN·엔씨소프트·넷마블 등도 유심 교체를 권고했다. 지난 25일 SK텔레콤과 업무협약을 맺은 경찰은 유심 재고가 확보되면 업무폰 SK텔레콤 유심을 전부 교체하기로 했다. 한편 부산에선 한 60대 남성이 자신도 모르는 사이 SK텔레콤 휴대전화가 해지되고 본인 명의 알뜰폰이 개통돼 은행 계좌에서 5000만원이 빠져나갔다는 신고가 접수돼 부산경찰청 사이버수사대가 수사에 나섰다. 정보기술 당국은 “이번 해킹 사건과는 관련이 없는 것으로 보인다”고 했다.

과도한 개인정보 수집으로 논란을 빚은 중국의 생성형 인공지능(AI) ‘딥시크’가 한국 정부의 시정 권고를 일부 수용하고 두 달여 만에 신규 다운로드 서비스를 재개했다. 개인정보보호위원회가 지난 23일 제9회 전체회의에서 ‘딥시크 사전 실태점검 결과’를 심의·의결한 지 닷새 만이다. 개인정보위 점검 결과 딥시크는 국외 정보 이전에 대해 이용자의 동의를 받거나 처리 방침을 공개하지 않고 국내 고객이 딥시크 채팅창에 입력한 프롬프트 정보를 틱톡의 모기업인 바이트댄스 자회사 ‘볼케이노’에 넘겼던 것으로 밝혀졌다. 이에 개인정보위는 딥시크에 국외 이전 시 합법적인 근거를 충실히 마련하는 것은 물론 프롬프트 정보 즉각 파기와 한국어 처리방침 공개, 아동 개인정보 수집 확인·파기 등을 시정권고한 바 있다. 이에 딥시크는 한국 개인정보 보호 정책에 대한 별도의 부속 규정을 새로 마련하고 ‘한국 개인정보보호법을 준수해 개인정보를 처리한다’고 밝혔다. 이용자 개인정보를 중국 회사 3곳과 미국 소재 1곳 등 4개 기업으로 이전할 수 있다는 점과 이용자가 개인정보 이전을 거부할 수 있다는 점도 명시했다. 회사는 또 개인정보위가 권고한 이용자 선택권 보장을 위한 ‘옵트아웃’ 기능도 마련했다. 옵트아웃은 생성형 AI에서 정보 주체가 명시적으로 거부 의사를 밝히면 이용자가 입력한 데이터를 삭제하고 AI 학습 활용을 막는 기능이다.

누가, 어디 자금으로… ‘이름표’ 붙이기거래소 의심거래보고 매년 증가고객확인 의무 등 안전장치 가동은행·거래소 ‘갑을’ 아닌 ‘협력’ 관계로‘을’ 측이 ‘갑’ 측 시스템 확인 어려워시장 독과점 개선책 먼저 마련돼야 가상자산(암호화폐) 거래소와 은행은 누가, 어디서 난 자금으로 가상자산 거래를 하는지 ‘이름표’를 붙이는 취지의 자금세탁방지(AML) 시스템을 각각 구축하고 있다. 가상자산에는 국경이 없고 코인으로 코인을 살 수 있는 구조다 보니 여러 차례 거래를 거치다 보면 해당 자금의 흐름을 추적하거나 실제 소유자를 특정하기 어려워지기 때문이다. 불법 자금의 이동통로로 악용되는 것을 막으려면 거래소와 은행의 상호 검증이 필요한데 현장에선 협상력 우위에 따른 미묘한 갑을관계에 따라 이러한 체계가 제대로 작동하지 않을 수 있단 우려가 커진다. 시중은행 고위 관계자는 28일 “가상자산 시장과 관련해 은행과 거래소의 가장 큰 관심사는 단연 자금세탁방지다. 실명계좌 제휴를 할 때 당국도, 제휴 대상끼리도 자금세탁방지 노력을 가장 중점적으로 살피고 있다”고 말했다. 국내 가상자산 거래소들은 2021년 3월 특정금융정보법(특금법) 개정과 함께 자금세탁방지 시스템을 본격화했다. 고객의 가상자산 거래가 자금세탁, 공중협박자금 조달 등에 연루됐다고 의심할 만한 근거가 있는 경우 거래소들은 금융위원회 금융정보분석원(FIU)에 이를 신고하는 의심거래보고(STR) 의무를 다해야 한다. 고객의 신원을 확인하고 식별하는 고객확인(KYC) 의무도 있다. 김상훈 국민의힘 의원실이 금융위원회에서 받은 자료에 따르면 가상자산사업자(VASP)의 STR 건수는 2022년 1만 797건, 2023년 1만 6076건, 2024년 1만 9658건 등 매년 가파르게 증가하고 있다. 수상한 거래 시도가 증가하고 있단 것인데 동시에 법 개정 이후 거래소도 보고를 강화하면서 수치가 늘어나고 있는 것으로 해석된다. 거래소들이 이런 자금세탁방지 노력을 다하지 않으면 사업의 영위가 어려워질 수도 있다. FIU에 따르면 국내 거래소, 지갑사업자, 커스터디(수탁) 업체 등 VASP는 이날 기준 27곳이다. 연초까지는 42곳이었는데 엄격한 요건으로 갱신을 포기하는 사례가 늘고 있다. VASP는 특금법에 따라 3년마다 라이선스를 갱신해야 한다. 업비트가 당국으로부터 영업 일부정지 제재를 받은 것도 VASP 갱신 신고 관련 현장검사에서 특금법상 KYC 의무 위반, 미신고 VASP와의 거래 금지 의무 위반 등이 적발되면서다. 은행 역시 특금법에 따라 의심스러운 거래를 보고하고 KYC 의무를 이행해야 한다. 다만 회사의 덩치와 시장 점유율에 따라 소위 갑을관계가 형성되기도 한다. 중소형 거래소들은 시중은행이 엄격한 잣대를 들이밀면서 ‘슈퍼 갑’ 행세를 한다고 불만을 토로한다. 실명이 확인된 사람에게만 가상자산 거래를 허용해 주는 가상자산 실명계정 제도가 2018년 1월 시행되면서 거래소는 계좌를 내줄 은행이 필요하다. 반대로 은행권에서는 업계 상위 거래소가 ‘진짜 갑’으로 군림하고 있다고 반박한다. 문제는 이런 물밑 갑을관계가 자금세탁방지 문제에 작용할 때다. 케이뱅크는 지난해 3월 가상자산 투자자가 첫 입금을 한 뒤 투자 한도를 늘리기 위한 제한 기간을 30일에서 3일로 단축했다. 이후 비판이 일자 지침을 바꾼 지 20여일 만에 기준을 다시 30일로 상향했다. 은행연합회의 ‘가상자산 실명계정 운영지침’에 따르면 은행은 자금세탁방지를 위해 한도 계정과 정상 계정을 구분해 입출금 한도를 제한해야 한다. 케이뱅크는 시장 점유율이 70%에 달하는 업계 1위 거래소 업비트와 제휴하고 있다. 당시 케이뱅크가 갑자기 문턱을 낮췄던 데는 가상자산 업계의 입김이 작용했다는 분석이 지배적이다. 반대로 시중은행이 문턱을 너무 높게 잡아 거래소로부터 외면을 받기도 한다. NH농협은행은 과거 가상자산 거래만을 목적으로 한 계좌 개설을 엄격하게 했고 최초 이체 한도가 타행의 10분의1인 100만원 수준이었다. 그 결과 농협은행과 제휴하고 있던 코인원은 카카오뱅크로, 빗썸은 KB국민은행으로 제휴 은행을 바꿨다. 한편 은행은 지침에 따라 거래소에 최소 30억원 이상의 준비금을 적립하도록 하고 이용자 예치금을 별도 예치하거나 신탁하도록 해야 한다. 아울러 은행은 월 1회 이상 거래소 사무시설을 방문해 현장 실사를 실시하고, 분기별로 거래소로부터 예치금 구분, 관리 실태에 대한 외부 기관 실사 결과를 제출받아 비교 확인한다. 거래소가 은행의 자금세탁방지 시스템이 제대로 작동되고 있는지 정기적으로 살피도록 한 장치는 비교적 미비하다. 황석진 동국대 국제정보보호대학원 교수는 “은행과 거래소가 갑을관계가 되면 을의 입장인 회사가 제휴사의 자금세탁방지 시스템을 들여다보기는 어려워진다”고 했다. 특히 하반기부터 법인의 가상자산 투자가 본격화하면 규모가 큰 자금이 일반적으로 오가게 되는 만큼 자금세탁 위협도 더 커질 수 있다. 박혜진 서울과학종합대학원 교수는 “먼저 가상자산 시장의 독과점 문제를 개선하기 위한 대책을 마련해야 갑을 구조가 완화돼 은행과 거래소가 자금세탁방지 노력을 상호 검증하고 보완하는 체계를 구축할 수 있다”고 제언했다.

농촌진흥청 홈페이지 등에서 47만 9000여건의 개인정보가 유출된 것으로 확인됐다. 지난 7일 농진청 산하 국립축산과학원 축사로 홈페이지의 개인정보 3000여건이 유출된 사건을 조사하는 과정에서 추가 정보 유출 사실이 드러났다. 농진청은 국립축산과학원 축사로 홈페이지의 개인정보 유출 사건을 조사하는 과정에서 개인정보가 추가 유출된 사실을 확인했다고 28일 밝혔다. 농진청은 이날 ‘개인정보 유출에 대한 안내 및 사과의 말씀’ 게시글을 통해 “농촌진흥청의 모든 정보시스템에 대해 해킹여부를 점검한 결과 이상이 없는 것으로 확인됐지만, 당시 해킹을 당한 정보화 사업 용역업체의 저장장치 데이터를 분석하는 과정에서 또 다른 개인정보가 유출된 정황을 지난 25일 확인했다”고 알렸다. 확인된 데이터는 과거 농촌진흥청 홈페이지 회원정보(2018년), 국가농작물병해충관리시스템 회원정보(2019년), 농약안전정보시스템 회원정보(2020년), 농촌진흥사업종합관리시스템 회원정보(2022년), 농업유전자원서비스시스템 회원정보(2023년) 등 47만 9000여 건으로 추정된다. 다만 농진청은 주민등록번호 등 개인식별번호는 수집 항목이 아니라 없다고 강조했다. 농진청은 “개인정보 침해사고 대책반을 구성하여 2차 피해 예방에 만전을 기하고, 개인정보 분쟁조정 신청 창구 안내 및 2차 피해 유형과 대응 요령에 대해 적극 안내하고 있다”며 “개인정보보호법에 따라 개인정보보호위원회 신고 등 필요한 조치를 했다”고 설명했다. 그러면서 “개인정보보호위원회의 조사와 경찰의 수사에 적극 협조해 사고 경위를 철저히 규명하고, 면밀한 원인 분석을 통해 유사 사고의 재발 방지를 위한 종합대책을 마련하겠다”며 “스미싱 등 2차 피해를 예방하기 위해 비밀번호를 변경하는 등 각별한 주의를 당부드리며 정보서비스 이용자께 심려를 끼쳐드려 진심으로 사과의 말씀을 드린다”고 사과했다.

SK텔레콤이 유심(USIM·가입자 식별 모듈) 교체를 시작한 28일 전국 T월드(SK텔레콤 대리점)에선 이른 아침부터 대기 줄이 길게 늘어서며 북새통을 이뤘다. 한정된 재고 물량 탓에 많은 고객이 발길을 돌려야 했다. 일부 대리점에선 헛걸음한 고객이 회사와 직원들의 대응 방식에 문제를 삼으며 고성을 내기도 했다. 고객들은 SK텔레콤이 “유심 교체를 대체할 수 있다”고 공언한 ‘유심 보호 서비스’ 가입에 나섰지만 이 또한 녹록지 않았다. 수십만명이 동시에 접속하면서 예상 대기 시간이 급속도로 늘어났기 때문이다. 이번 사태로 SK텔레콤 가입자 일부가 다른 이통사로 이탈하는 가운데, 집단행동 움직임도 감지되고 있다. 금융권에선 혹시 모를 피해에 대비해 SK텔레콤의 본인 인증을 중단했다. SK텔레콤의 주가는 전일 대비 6.75% 하락한 5만 3900원에 거래를 마쳤다. 이날 서울 은평구의 한 T월드에선 오전 8시부터 ‘오픈 런’이 시작됐다. 그러나 해당 대리점이 보유한 유심 물량은 190개. 개점 시간(오전 10시)보다 1시간 일찍 문을 연 직원들이 서둘러 번호표를 나눠 주기 시작했고, 불과 30분 만에 하루치 재고가 동났다. 거동이 불편해 지팡이를 짚은 채 대리점을 방문한 83세 이대용씨는 “이번 일로 개인정보가 다 유출될 수 있다는 얘길 들었다”며 “늙은이 계좌에 있는 몇 푼 안 되는 돈이 다 털리면 어쩌나 싶어 서둘러 나왔다”고 했다. 가입자들은 유심 정보 유출 사실은커녕 유심 교체 안내 등을 제대로 전달받지 못한 데 대해 분통을 터뜨렸다. SK텔레콤은 지난 25일부터 가입자에게 매일 500만명씩 순차적으로 유심 보호 서비스 안내 문자를 보내고 있다고 했지만, 여전히 안내받지 못한 사람이 많았다. 직장인 강정미(42)씨는 “유심이 해킹된 건 매우 심각한 일인데 SK텔레콤에서 문자 한 통 받지 못했다”면서 “뉴스를 보고 유심 보호 서비스에 가입했고 유심 교체 신청을 했지만 이런 정보를 접하지 못한 고령층은 어떻게 해야 하느냐”고 지적했다. SK텔레콤은 유심 교체와 별개로 유심 보호 서비스 가입을 권하고 있지만, 이 경우 로밍이 차단되므로 해외에 나가려면 무조건 유심을 교체해야 한다. 회사는 다음달 중 이러한 문제를 해결하겠다고 밝혔다. 이번 사태로 SK텔레콤에서 이탈하는 가입자도 느는 추세다. 지난 26일 SK텔레콤 가입자 1665명이 다른 통신사로 이동했는데, 이달 들어 가입자 이탈이 가장 많았던 날도 200명이 넘지 않았던 점을 감안하면 해킹 사고의 영향인 것으로 분석된다. 일부 가입자들은 이번 사태에 대한 진상 규명을 요구하며 공동 대응 사이트인 ‘SK텔레콤 유심 해킹 공동 대응 공식 홈페이지’를 개설했다. 사이트 운영진은 5만명 이상을 목표로 국회 국민동의 청원도 진행 중이다. 포털 사이트에는 ‘SK텔레콤 개인정보 유출 집단소송 카페’가 개설돼 이날까지 2만 4000여명이 가입했다. 이번 사고에 대한 조사 결과가 당장 나오지는 않을 전망이다. 이날 고학수 개인정보보호위원회 위원장은 국회 정무위원회 전체 회의에서 “(포렌식 결과는) 보통 짧게 걸리면 2~3개월이고 시스템이 복잡한 경우 1년 이상 걸리기도 한다”고 밝혔다. 이런 가운데 부산에선 한 60대 남성이 자신도 모르는 사이 SK텔레콤 휴대전화가 해지되고 본인 명의 알뜰폰이 개통돼 은행 계좌에서 5000만원이 빠져나갔다는 신고가 접수돼 부산경찰청 사이버수사대가 수사에 나섰다.

과도한 정보 수집 논란으로 국내 신규서비스를 일시 중단했던 중국 생성형 인공지능(AI) 기업 ‘딥시크’가 28일 개인정보 처리 방침을 개정하며 ‘한국’ 항목을 새롭게 추가했다. 딥시크는 이날 업데이트한 개인정보 처리 방침에 “한국에서 서비스를 이용하는 경우 이 조항을 적용받는다”라며 “한국의 개인정보보호법을 준수해 이용자의 개인정보를 처리한다”는 내용을 명시했다. 딥시크가 개인정보 처리 방침에 한국을 언급한 건 이번이 처음이다. 지난 2월 개정 당시에는 ‘이용자의 키보드 입력 패턴’ 수집을 제외하고 유럽경제지역(EEA), 영국, 스위스 등 유럽 국가에 대한 추가 약관만 마련했을 뿐 한국은 포함되지 않았다. 이번에 추가된 약관에는 개인정보 처리 내용에 대한 정보 접근권, 개인정보 정정 및 소멸 요청권, 처리제한 요구권 등도 포함됐다. 다만 개인정보는 여전히 중국 내 서버에서 보관된다. 앞서 딥시크는 과도한 개인정보 수집 논란과 함께 수집된 개인정보 유출 우려가 제기되면서 국내 신규 서비스를 잠정 중단한 바 있다. 이와 관련해 개인정보보호위원회는 지난 23일 전체회의를 열고 시정권고를 결정했다. 딥시크가 앱에서 수집한 개인정보를 국외로 이전할 때 이용자 동의를 받지 않았고, AI 학습 목적 정보 수집에 대한 고지가 부족했다는 등 여러 개인정보보호 위반 소지가 확인됐다. 개인정보위의 이러한 지적에 대응해 딥시크는 한국어로 된 개인정보 처리방침과 대한민국 관할조항을 새로 추가해 지난 3월 말 제출했다.

한덕수 대통령 권한대행 국무총리는 27일 SK텔레콤 유심 해킹 사고와 관련해 과학기술정보통신부에 “유심 보호 서비스 가입·유심 교체 조치의 적정성을 면밀히 점검하라”고 지시했다. 한 대행은 이날 긴급 지시를 통해 “과기부를 중심으로 방송통신위원회, 개인정보보호위원회 등 관계부처는 조속히 국민 불편 해소에 전력하기 바란다”며 이같이 지시했다고 총리실이 전했다. 한 대행은 이어 “현재 진행 중인 사고 원인을 철저히 분석하고 투명하게 국민들에게 알리는 한편, 국가정보원 등 관계부처는 날로 증대되는 사이버 공격에 대비한 현 정보보호 체계를 철저히 점검하고 개선하라”고 주문했다. 앞서 SK텔레콤은 지난 18일 해커에 의한 악성 코드로 이용자 유심 정보가 유출된 정황을 확인했으며, 지난 25일 고객 정보보호 조치 강화 설명회를 열고 2300만명에 달하는 전 고객을 대상으로 유심을 무상 교체를 지원하겠다고 밝혔다.

SK텔레콤이 악성코드로 인한 사이버 침해 사고와 관련해 오는 28일부터 유심 무료 교체를 포함한 고객 정보 보호조치를 시행한다. 이번 조치는 앞서 도입한 유심 보호 서비스와 비정상 인증 시도를 차단하는 이상거래탐지시스템(FDS) 강화에 이은 후속 대응이다. 유영상 SK텔레콤 대표는 25일 서울 을지로 SK텔레콤 사옥에서 열린 고객 정보 보호조치 강화 설명회에서 “SK텔레콤을 믿고 이용해주신 고객 여러분과 사회에 큰 불편과 심려를 끼쳐 드린 점에 대해 진심으로 사과드린다”며 “SK텔레콤을 이용하는 모든 고객분들을 대상으로 원하실 경우 유심카드를 무료로 교체해드리는 추가 조치를 시행하겠다”고 밝혔다. 유심 무료 교체 서비스는 28일 오전 10시부터 시작된다. 대상은 19일 0시 이전 가입자 중 유심 교체를 희망하는 모든 고객이며, 서비스는 전국 T월드 매장과 공항 로밍센터에서 제공된다. 단 1회 한정이며, 일부 워치 및 키즈폰 등은 대상에서 제외된다. 시행 초기 고객 쏠림으로 당일 교체가 어려울 경우 방문한 매장에서 예약 신청을 하면 추후 유심 교체가 가능하다. 공항 유심 교체는 시간이 추가로 걸리므로 충분한 시간 여유를 갖고 방문하는 것을 권장한다고 SK텔레콤은 설명했다. SK텔레콤은 유심 무료 교체 서비스를 19~27일 자비로 유심을 교체한 고객에게도 소급 적용해 고객들이 이미 납부한 비용에 대해 별도로 환급한다. 또한 SK텔레콤 통신망을 사용하는 알뜰폰 고객에게도 동일한 조치를 적용하기로 하였다. 시행 시기 및 방법 등은 각 알뜰폰 업체에서 추후 공지할 예정이다. SK텔레콤은 “사실상 유심교체와 동일한 효과를 지닌 FDS 강화, 유심보호서비스(무료)에 이어 유심 무료 교체서비스까지 더해질 경우, 더욱 안전한 고객 보호 효과가 있을 것으로 기대하고 있다”고 밝혔다. 또한 SK텔레콤은 정보 유출 사고의 2차 피해는 확인되지 않았다고 밝혔다. 이종훈 인프라 전략본부장은 “(악성코드) 침해가 있던 것으로 파악된 서버 시스템은 네트워크에서 완전 격리했다”며 “(사고 이후) 유사 침해가 있는지 시스템을 전수조사한 결과 문제가 없는 것으로 판단됐다”고 설명했다. 사고 원인 및 피해 규모 등은 현재 과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원(KISA), 경찰 등이 합동 조사하고 있다. 유 대표는 “사고 원인에 대한 정부 조사가 이제 막 시작된 상황이다. 추후 사고 원인과 피해 규모를 비롯한 자세한 결과가 나오는 대로 제가 직접 추가 조치 방안 등을 설명하는 자리를 다시 갖겠다”며 “고객 신뢰를 최우선으로 하며 이같은 일이 다시 벌어지지 않도록 최선을 다하고, 고객 정보보호 방안도 강화하겠다”고 말했다. 한편 SK텔레콤은 이번 사이버 침해 사고 발생 이후 불법 유심 복제를 막기 위해 비정상인증시도 차단 기준을 최고 수준으로 격상해 운용 중이다. 더불어 실시간 모니터링도 지속적으로 강화하고 있다. 이와 함께 SK텔레콤은 유심보호서비스 사용을 적극적으로 권장하고 있다. 지난 22~24일 3일 간 206만명이 신규 가입했다. 또한 SK텔레콤은 다음달까지 로밍 중에도 유심보호서비스 이용이 가능하도록 서비스를 고도화할 예정이다. 유 대표는 “SK텔레콤은 고객의 신뢰를 최우선으로 생각하며 보안 체계를 더욱 강화하고, 고객 정보 보호 강화 방안도 마련해 나가겠다”며 “이번 사태를 통해 다시 한 번 기본에 충실하고 책임 있는 기업으로 거듭나겠다”고 밝혔다.

경기도의회 김민호 의원(양주 2)은 지난 4월 15일(화), 도의회 의원회관 사무실에서 경기교사노동조합 채유경 정책실장, 함민주 청년대변인과 함께 정담회를 갖고, 중학교 배정 시 ‘전 가족 등본 등재’ 요구로 인해 발생하는 인권침해 문제를 심도 있게 논의했다. 이날 경기교사노동조합은 “학생이 실제 해당 주소지에 거주하고 있다면 중학교 배정에 문제가 없어야 하며, 전 가족 등재 요구는 법적 근거가 없는 임의 행정”이라며 “위장전입 사례는 극히 드물고, 오히려 다양한 가족 형태에 대한 차별적 인식만 심화되고 있다”고 지적했다. 또한 “이혼, 별거, 조손가정 등 특정 가족형태에 대해서만 별도 서류를 요구하는 행정은 사생활 침해이자 본질적인 차별이며, 이로 인해 학생과 보호자가 받는 심리적 부담은 매우 크다”고 강조했다. 정담회에서는 실제 사례도 공유됐다. 한 초등학교 교사는 “중학교 배정을 위한 서류 제출 과정에서 학부모가 이혼 사실을 처음으로 외부에 드러내야 했고, 그로 인해 자녀가 큰 스트레스를 겪었다”며 “해당 학생은 상담을 요청해 감정적으로 불안한 상태였고, 교사 역시 큰 부담을 느꼈다”고 전했다. 국가인권위원회는 2019년 경기도교육청에 ‘미등재 사유서를 일률적으로 요구하는 것은 인권침해’라며 제도 개선을 권고한 바 있으며, 2020년 서울시 사례에 대해서도 동일한 인권침해 결정을 내린 바 있다. 김민호 의원은 “가족형태가 변화하는 현실에도 교육행정의 시계는 멎어 있고, 책임 떠밀기에 급급한 교육청과 교육지원청은 각성해야 한다”며 “헌법과 개인정보보호법이 보장하는 기본권이 무엇보다 우선되어야 한다. 경기도교육청에 공식적으로 개선 요청을 하고, 실질적으로 인권 개선이 이루어지도록 노력하겠다”고 밝혔다.

개인정보 수집 논란으로 국내 신규 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) 딥시크가 서비스 당시 중국 업체에 국내 이용자 개인정보와 명령어(프롬프트) 입력 내용을 넘긴 것으로 파악됐다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 갖고 전날 전체회의에서 딥시크 측에 이미 넘어간 프롬프트 입력 내용을 즉각 삭제하도록 하는 등 시정명령과 개선 권고사항을 심의·의결했다고 밝혔다. 개인정보위에 따르면 지난 1월 15일 국내 서비스를 개시한 딥시크는 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국내 1곳 등 총 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 당시 한 달간 넘어간 정보는 150만명분에 이를 것으로 추정된다. 딥시크는 특히 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 다만 딥시크 측은 볼케이노가 별도 법인이고 정보를 마케팅 등의 목적으로 이용하지 않았다고 해명했다고 개인정보위는 전했다.

개인정보 수집 논란으로 국내 신규 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) 딥시크가 서비스 당시 중국과 미국 내 여러 업체에 국내 이용자 정보를 무단 이전한 것으로 파악됐다. 이용자가 프롬프트에 입력하는 내용도 중국 업체에 넘어간 것으로 조사됐다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 갖고 전날 전체회의에서 딥시크 측에 이미 넘어간 프롬프트 입력 내용을 즉각 삭제하도록 하는 등 시정명령과 개선 권고사항을 심의·의결했다고 밝혔다. 개인정보위에 따르면 지난 1월 15일 국내 서비스를 개시한 딥시크는 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국내 1곳 등 총 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 다만 어떤 정보가 업체들로 넘어갔는지는 파악되지 않았다. 당시 국내 딥시크 이용자는 약 5만명으로 알려져 있어 한 달간 150만명에 달하는 이용자 정보가 해외로 무단 이전된 것으로도 볼 수 있다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 ‘옵트아웃(opt-out)’기능과 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차도 없었다. 딥시크는 그러나 점검 과정에서 이용자의 명령어 데이터를 AI 학습에 활용하지 않도록 거부할 수 있는 선택 기능을 추가했다. 딥시크는 또 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 볼케이노는 중국 소셜미디어 ‘틱톡’의 모회사인 ‘바이트댄스(Bytedance)’의 계열사다. 다만 개인정보위는 “볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다”고 전했다. 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이후 시정 및 개선 권고에 대한 이행 결과는 60일 안에 개인정보위에 보고해야 한다. 남석 개인정보위 조사조정국장은 “이행 여부를 최소 2회 이상 점검하며 지속 관리할 계획”이라고 밝혔다. 개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 “해당 업체가 판단할 문제”라며 구체적으로 언급하지 않았다. 다만 딥시크 측이 개인정보위 지적사항을 대부분 개선했다고 밝혀 조만간 국내 서비스를 재개할 것으로 예상된다.