960만여 명의 회원을 보유한 롯데카드의 해킹 사고 피해 규모가 당초 예상보다 훨씬 클 것으로 파악되면서 파장이 커지고 있다. 피해자 규모가 수십만~수백만 명에 달할 수도 있단 관측이 나오는 가운데 조좌진 롯데카드 대표가 대국민 사과와 함께 보상 방안을 발표하기로 했다. 롯데카드의 최대주주인 사모펀드 MBK파트너스의 책임론도 제기된다. 17일 금융권에 따르면 금융당국은 롯데카드 해킹 사고로 인한 정보 유출 범위와 피해 규모를 확인하는 작업을 이날로 완료했다. 당초 롯데카드는 금융감독원에 1.7기가바이트(GB) 분량의 데이터가 유출됐다고 보고했으나 피해 규모는 이보다 큰 것으로 추정된다. 강민국 국민의힘 의원실에 따르면 금감원은 롯데카드 해킹 사고와 관련해 “카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다”고 밝혔다. 특히 롯데카드가 해킹 사고를 인지한 건 지난 8월 31일이었지만, 금감원이 파악한 바로는 해킹에 따른 내부파일 유출은 이보다 17일 앞선 8월 14~15일 2차례에 걸쳐 일어났고, 같은달 16일까지 추가 유출 시도가 계속됐다. 금융당국 관계자는 “추가적인 본인 인증 절차 없이 현재 유출된 정보만으로는 카드 결제가 쉽지 않은 것으로 알고 있다”면서 “아직 신고된 부정 사용 사례는 없는 것으로 파악했지만 최고 수준의 경계감으로 대응하고 있다”고 했다. 조 대표는 18일 서울 중구 부영태평빌딩에서 대국민 사과와 함께 사고 경위, 보상안 등을 발표한다. 조 대표는 지난 4일에도 “이번 침해 사고로 인해 발생한 피해에 대해서는 책임지고 전액을 보상해 드릴 것”이라며 사과문을 발표한 바 있다. 고객 보상 방안으로 탈퇴 회원 대상 연회비 무차감 환불 등이 거론된다. SK텔레콤은 이용자 해킹 피해 후속 조치로 한 달간 T멤버십 제휴사 할인 등 혜택을 제공했다. 조 대표는 사태 수습에 집중하기 위해 전날 이찬진 금융감독원장과 카드·캐피털사 대표들의 간담회 자리에도 불참했다. 간담회에서 이찬진 원장은 롯데카드 사태를 겨냥해 “최근 금융권의 사이버 침해사고를 뼈아픈 자성의 계기로 삼아야 한다. 한 번의 사고도 용납하지 않는다는 무관용 원칙을 가지고, 사이버 보안 인프라를 근본적으로 재점검하라”고 지적했다. 롯데카드의 매각을 추진하고 있는 최대주주 MBK가 수익 극대화에 치중하면서 보안 투자를 소홀히 한 것 아니냐는 지적도 이어진다. MBK는 지난 2019년 1조 3800억원에 롯데카드 지분 약 80%를 인수한 뒤 지난 2022년 3조원에 팔겠다고 내놨다가 실패했고, 이어 지난 5월 2조원으로 희망 가격을 낮췄지만 원매자는 나타나지 않았다. MBK는 ‘홈플러스 사태’와 관련해 금융당국 조사와 검찰 수사를 동시에 받고 있다.

큰 호응을 얻어 품절 대란까지 일으킨 SK텔레콤 ‘T 멤버십 고객 감사제’가 9월에도 진행된다. 31일 SKT는 T데이, VIP 픽에 고객 감사제를 더해 한층 풍성해진 ‘9월 멤버십 혜택’을 선보인다고 밝혔다. 오는 9월 1일부터 5일까지 진행되는 T데이 기간에는 컴포즈커피 선착순 무료 제공, 더벤티 아메리카노 50% 할인, 배민X처갓집 7000원 할인 등 다양한 행사가 진행된다. 또 멤버십 VIP 등급 고객에게 제공되는 VIP 픽은 역대 최대 혜택을 선보인다. 폴바셋, 피자헛, 배달의민족, 롯데리아를 비롯해 라이프스타일 브랜드 자주(JAJU) 등 여러 브랜드가 신규 제휴사로 참여한다. 매달 3개의 제휴사를 선정해 50% 이상 할인을 제공하는 ‘T 멤버십 고객 감사제’의 9월 첫 번째 제휴사는 외식 브랜드 ‘빕스’다. 빕스는 최대 10만원 한도로 50% 할인을 제공한다. 빕스 할인 쿠폰은 오는 9월 1일부터 10일까지 T멤버십 앱에서 내려받을 수 있으며, 쿠폰 사용 기한은 10월 31일까지다. ‘T 멤버십 고객 감사제’는 지난 4월 발생한 사이버 침해사고에 따른 보상 조치로 진행하는 행사다. SKT 고객들은 제휴사별 1회씩, 한 달에 총 3회 멤버십 제휴 혜택을 이용할 수 있다. 할인쿠폰은 총 수량 제한 없이 모든 고객에 제공된다. 앞선 8월에는 스타벅스 아메리카노 무료 제공, 파리바게뜨 50% 할인, 도미노피자 60% 할인 등 파격적인 혜택을 내세워 화제를 모았다. ‘파리바게뜨 50% 할인’ 행사 기간 전국 파리바게뜨 매장에서는 ‘품절 대란’이 일어났다. 또 60% 할인을 진행한 도미노피자는 홈페이지 접속이 마비되기도 했다. 아울러 SKT는 ‘고객 감사제’의 일환으로 8월부터 12월까지 5개월간 매월 데이터 50GB를 추가로 제공한다. SKT는 올해 고객 감사패키지에만 약 5000억원을 투입할 계획이다.

인공지능(AI)이 상상 이상의 속도로 발전해 사회 전반을 빠르게 재편하는 ‘AI 대전환 시대’에 서 있다. 산업 자동화는 물론 수업방식, 금융자산 관리, 신약 개발, 의료 진단에 이르기까지 모든 영역에서 혁신을 창출하고 있다. 이재명 대통령이 AI 3대 강국 도약을 국정 핵심 기조로 제시한 것도 이런 흐름에 선제적으로 대응하기 위함이다. AI 진보와 함께 사이버 위협 또한 빠르게 진화하고 있다. 인터넷에 연결된 모든 사물이 공격 대상이 됐으며, 생성형 AI를 악용해 정교한 피싱 메일을 생성하는 등 해킹 지식 없이도 누구나 해커가 될 수 있는 시대가 도래했다. 최근 SKT 해킹을 비롯해 플랫폼, 명품 업체 등 분야를 막론한 다양한 업종이 공격의 표적이 되고 있다. 사이버 위협은 국가 안보에도 중대한 도전이다. 물리적 교전과 함께 국가 핵심 인프라를 겨냥한 사이버공격이 조직적으로 동반되고 있다. 사이버 공간이 전장의 일부가 되는 새로운 안보 지형이 형성된 것이다. 사이버 위협이 고도화하는 상황에서 AI 강국으로 도약하기 위한 필수 전제는 정보보호다. 이 대통령은 제14회 정보보호의 날 기념식에서 “체계적인 정보보호, 튼튼한 사이버 보안이 뒷받침된다면 AI 3대 강국은 대한민국의 현실이 될 것”이라고 강조했다. AI와 정보보호는 함께 가야 한다. AI가 창출하는 가치와 혁신은 견고한 정보보호 없이는 지속될 수 없다. 과학기술정보통신부는 안전한 AI 시대를 준비하기 위해 민관 역량을 결집해 보안 체계의 대전환을 추진하고자 한다. AI 시대로 본격 진입하기 전인 지금이야말로 국가 핵심 산업의 보안 취약점과 정보보호 수준을 자세히 점검하고 보안 위협에 대한 대응 역량을 갖출 적기다. 과기정통부는 기업이 자체적으로 보안 역량을 점검하고 개선할 수 있도록 공시 제도 내실화, 정보보호 최고책임자 권한 확대 등 제도적 뒷받침을 추진할 것이다. 보안이 취약한 지역, 중소기업 등 사각지대 해소도 과제다. 지난해 침해사고 신고 중 중소기업이 94%를 차지했다. 이에 정보보호 지역센터를 확대해 지역의 사고 대응을 밀착 지원하고 컨설팅을 통해 중소기업의 보안 수준을 끌어올릴 것이다. 아울러 피싱, 스미싱 등 디지털 기술을 악용한 민생 범죄를 근절해 나갈 것이다. 악성 URL이 포함된 문자를 발송 단계에서 차단하는 시스템을 확산하고 휴대전화 부정 개통 방지를 위한 안면인식 시스템을 도입해 나갈 것이다. 국가 정보보호 강화를 위한 제도 정비도 추진한다. 데이터 보호를 위해 보안 의무가 부여되는 주요 인프라를 네트워크 중심에서 중요 데이터 관련 시설로 확대한다. 아울러 정보보호 인증이 현장에서 작동될 수 있도록 심사와 사후 관리를 강화한다. 정보보호산업 육성에도 박차를 가할 것이다. 양자내성암호 등 보안기술에 대한 투자, 전문 인력 양성 등 정보보호산업이 국가 미래를 지키는 전략 산업으로 도약하도록 적극 지원할 것이다. 정보보호는 사회 구성원 모두가 책임 의식을 갖고 실천해야 비로소 완성될 수 있다. 업계에서는 보안을 비용이 아닌 투자로 인식해 자발적인 역량 강화에 힘써야 한다. 개인도 주기적인 비밀번호 변경, 수상한 링크 클릭 금지 등 자신을 지키는 노력이 필요하다. 7월은 정보보호의 달이다. 사이버 보안이 자신은 물론 기업과 국가를 지키는 일이라는 마음가짐으로 정보보호의 중요성을 다시금 되새기는 계기가 되길 바란다. 과기정통부도 AI 시대, 국민이 신뢰할 수 있는 디지털 안심국가 구현을 위해 총력을 기울일 것이다. 류제명 과학기술정보통신부 제2차관

부산항만공사(BPA)는 자체 홈페이지에 대한 국가공인 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증을 받았다고 16일 밝혔다. ‘SMS-P 인증’은 과학기술정보통신부 및 개인정보보호위원회가 공동 고시하며, 정보보호 관리체계와 개인정보보호 관리체계를 통합·심사하는 인증제도다. BPA는 지난해 자발적으로 기관 정보보호 및 개인정보보호를 위해 국내 항만 최초로 ISMS-P 인증을 취득했고, 1년간 지속적인 정보보호 관리와 사후 심사를 통해 올해도 인증을 유지하는 성과를 냈다. 인증을 유지하려면 △정보보호 관리체계(16개) 수립·운영 △보호대책 요구사항(64개) △개인정보 처리 단계별 요구사항(21개) 등 총 101개의 인증기준을 충족해야 하고, 매년 1차례 이상 사후심사를 통과해야 한다. BPA는 인정 유지를 위해 홈페이지 정보보호 체계와 개인정보의 안전성을 점검하고, 기술적·관리적·물리적 보안조치와 사고예방 및 대응체계를 구축했다. 또 개인정보 침해대책 정립 등 정보보호를 위한 세부 관리체계를 수립하고, 최신 법령에 따른 관련 규정 및 지침을 정비해 관리체계에 반영했다. 송상근 BPA 사장은 “디지털화가 빠르게 진행되면서 기관 및 개인 정보보호의 중요성이 커지고 있다”며 “ISMS-P 인증 유지를 통해 사이버위협과 침해사고로부터 선제적으로 대응하고, 안전하고 신뢰받는 기관이 될 수 있도록 최선을 다하겠다”고 말했다.

유심 해킹 사태 여파로 대규모 가입자 이탈이 벌어지고 있는 가운데 SK텔레콤이 대규모 제휴 할인을 제공한다. 지난 13일 SKT는 다음 달부터 ‘T 멤버십 고객 감사제’를 진행한다고 밝혔다. 스타벅스와 파리바게뜨, 도미노피자 등 제휴사에서 50% 이상 할인 혜택을 제공하는 ‘T 멤버십 고객 감사제’는 지난 4월 발생한 사이버 침해사고에 따른 보상 조치로 진행하는 행사다. 제휴사별로 10일씩 돌아가며 8월부터 12월까지 5개월간 다양한 할인 혜택을 선보일 예정이다. SKT 고객들은 제휴사별 1회씩, 한 달에 총 3회 멤버십 제휴 혜택을 이용할 수 있다. 할인쿠폰은 총 수량 제한 없이 모든 고객에 제공된다. 가장 먼저 진행되는 제휴 할인은 스타벅스로 SKT 고객들은 오는 8월 1일부터 10일까지 톨 사이즈 아메리카노 음료 1잔을 무료로 받을 수 있다. T 멤버십 앱을 통해 쿠폰을 다운로드한 후 8월 1일부터 9월 30일까지 사용하면 된다. 파리바게뜨에서는 8월 11일부터 20일까지 전 제품 50% 할인을 제공한다. SKT 고객들은 해당 기간 파리바게뜨 매장에서 쿠폰을 보여주고 최대 1만원 할인 혜택을 받을 수 있다. 배달 50%, 포장 60% 할인을 제공하는 도미노피자 쿠폰은 8월 21일부터 30일까지 T 멤버십 앱에서 내려받을 수 있다. 쿠폰 사용 기한은 9월 4일까지다. 아울러 SKT는 현재 고객 및 이달 14일까지 SKT에 가입하는 고객들을 대상으로 8월 통신 요금 50% 할인, 8월부터 12월까지 5개월간 매월 데이터 50GB를 추가로 제공한다. 한편 SKT가 유심 해킹 사태의 수습책으로 내놓은 번호이동 위약금 면제 기한은 14일까지다. 13일 통신업계에 따르면 SKT가 위약금 면제를 발표한 직후인 지난 5일부터 12일까지 12만 4414명의 고객이 SKT를 이탈한 것으로 나타났다.

과기정통부 “안전한 통신 제공 의무 위반”유영상 대표 “통렬하게 반성, 참회하는 심정”8월 통신료 50% 할인·데이터 月 50GB 제공정보보호 인력 2배 늘려…年 매출액 하향 조정 SK텔레콤이 유심 해킹 사태에 대한 책임으로 1조원대 고객 보상과 정보보호 강화 대책을 내놓겠다고 밝혔다. 정부가 요구한 이탈 가입자에 대한 위약금 면제도 수용하기로 했다. 유영상 SK텔레콤 대표는 4일 서울 중구 SK텔레콤 본사에서 브리핑을 열고 이날 발표된 과학기술정보통신부의 민관합동조사단 조사 결과에 대해 “무겁게 받아들인다”며 “시정조치는 물론 재발 방지를 위한 모든 대책을 책임지고 신속히 이행하겠다”고 밝혔다. SK텔레콤은 고객 신뢰 회복을 위한 대책으로 ▲8월 요금 50% 할인 ▲매월 데이터 추가 제공 ▲7000억원 규모의 정보보호 혁신안 등을 제시했다. 이달 15일 0시 기준으로 SK텔레콤 및 SK텔레콤 망을 쓰는 알뜰폰 가입자 등 약 2400만명을 대상으로 별도 신청 절차 없이 8월 통신요금을 50% 할인해 준다. 또, 다음달부터 연말까지 모든 고객에 매달 데이터 50GB를 추가 제공한다. 아울러 침해사고가 발생한 지난 4월 18일 24시 기준으로 약정 기간이 남아 있는 가입자 중 침해사고 이후 해지한 사람과 오는 14일까지 해지 예정인 가입자를 대상으로 위약금을 면제하기로 했다. 이에 약정이 남아있는 가입자도 단말 지원금 또는 선택약정할인 대금을 반환하지 않아도 된다. 다만 단말기 할부금은 단말기 자체를 할부로 구매한 것이어서 위약금 면제 대상에 해당하지 않는다. 과기정통부는 이날 SK텔레콤 브리핑에 앞서 열린 민관합동조사단의 조사결과 발표에서 이번 사고의 책임이 SK텔레콤에 있고, SK텔레콤은 계약상 중요한 안전한 통신을 제공해야 할 의무를 위반했으므로 위약금 면제 규정에 해당한다고 밝혔다. SK텔레콤에 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 같은 문제가 확인된 만큼 귀책 사유가 SK텔레콤에 있다고 본 것이다. SK텔레콤은 향후 5년간 7000억원을 투자해 정보보호 수준을 국내 통신·플랫폼 기업 중 최고로 끌어올리겠다고 밝혔다. 이를 위해 최고 수준의 정보보호 인력을 영입하고 전문 인력을 기존 대비 2배로 늘리기로 했다. 또 이번 해킹 사고로 유심 복제 피해가 일어날 경우 외부 기관과 피해 보상 프로세스를 지원하는 ‘사이버 침해 보상 보증 제도’를 도입하고, 사이버 침해 관련 기업 보험 한도를 기존 10억원에서 1000억원으로 상향하기로 했다. 유 대표는 이번 사태에 대해 “통렬하게 반성하고 참회하는 심정”이라며 고개를 숙였다. 위약금 면제에 관해선 “큰 손실이 예상되지만 장기적 차원의 결정”이라고 했다. 한편, SK텔레콤은 해킹 사태에 다른 고객 보상과 가입자 이탈 등 시장 상황을 반영해 올해 매출액 전망을 17조 8000억원에서 17조원으로 하향 조정한다고 이날 공시했다. 모든 가입자에 대한 유심 무료 교체, 정부 과징금 납부 등의 비용을 고려하면 3분기 이후 영업이익은 더 악화할 가능성도 있다. SK텔레콤은 “이 전망은 사이버 침해 사고와 관련한 5000억원 규모 고객 감사 패키지 시행 및 시장 상황 등을 반영했으며 향후 회사의 영업 상황 및 경영환경에 따라 달라질 수 있다”고 밝혔다.

SKT “정부 위약금 면제 수용” SK텔레콤 해킹 사고로 계약을 해지하는 이용자들의 위약금 면제 여부와 관련해 정부가 ‘위약금을 면제해야 한다’고 밝히면서 통신업계 모두 바짝 긴장한 모습이다. 이번 결정이 유사한 사고 발생시 선례가 될 수 있다는 점에서 향후 업계에 미칠 파장에도 관심이 쏠린다. 과학기술정보통신부는 4일 정부서울청사에서 열린 SK텔레콤 침해사고 민관합동조사단의 조사 결과 발표에서 이번 사고의 책임이 SK텔레콤에 있고, SK텔레콤은 계약상 중요한 안전한 통신을 제공해야 할 의무를 위반했으므로 위약금 면제 규정에 해당한다고 밝혔다. SK텔레콤 이용약관 제43조는 ‘회사의 귀책 사유’로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 명시하고 있다. 과기정통부는 SK텔레콤에 계정 정보 관리 부실, 과거 침해사고 대응 미흡, 중요 정보 암호화 조치 미흡 같은 문제가 있었고 이 과정에서 SK텔레콤이 정보통신망법을 위반한 사실도 확인됐다고 지적했다. 또, 통신 사업자에게는 안전한 통신 서비스를 제공할 법적 의무가 있으며, 국민 일상이 통신을 기반으로 이뤄지는 점을 고려하면 사업자의 서비스 안전을 위한 보호 조치는 계약시 중요한 요소라고 강조했다. 사고 당시 SK텔레콤이 유심 정보 보호를 위해 운영하고 있던 부정사용방지시스템과 유심보호서비스 역시 가입자가 5만명에 그쳐 시스템 자체도 모든 복제 가능성을 차단하는 데 한계가 있었다는 지적이다. 이에 과기정통부는 사고 초기 위약금 면제 규정 적용 여부를 검토하기 위해 4개 기관에 법률 자문을 한 결과 SK텔레콤의 과실이 인정된다면 위약금 면제 규정을 적용할 수 있다는 공통된 의견을 받았다고 밝혔다. 또, 조사 마무리 시점에 추가로 자문한 결과 5곳 중 4곳에서 이번 사고를 SK텔레콤의 과실로 봤으며, 유심 정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반한 것이므로 위약금 면제 대상이라는 의견을 냈다고 설명했다. SK텔레콤은 이날 오후 열린 브리핑에서 정부의 위약금 면제 결정을 수용한다고 밝혔다. 위약금 면제 대상은 침해 사고 이후 해지한 고객과 오는 14일까지 해지 예정인 고객이다. 기납부한 위약금을 신청하면 환급하는 형태로 진행한다. 이번 위약금 면제 결정을 두고 통신업계 전반은 긴장한 모습이다. 해킹 사고로 인한 실제 피해가 현실화하지 않았음에도 귀책 사유가 인정되면 위약금을 면제할 수 있다는 방침이 나왔기 때문이다. 한 통신업계 관계자는 “해킹 사고로 인한 피해가 현실화하지 않아 위약금 면제까지 이어지진 않을 것이란 전망도 있었지만, 정부의 이번 결정은 해킹으로 인한 위약금 면제라기보다는 암호화 등 필수적인 보안 조치 사항을 이행하지 않은 데 대한 귀책 사유를 인정한 것으로 보인다”고 말했다. 정부의 위약금 면제 결정이 SK텔레콤 고객의 이탈을 가속화할 수 있다는 예측도 나온다. 또 다른 업계 관계자는 “위약금 면제 방침이 나온 이상 향후 가입자 이탈이 더 가속화할 수도 있을 것으로 보인다”고 전했다. 통신업계에 따르면 해킹사태가 처음 알려진 지난 4월 22일 이후 SK텔레콤 이탈자는 60만명에 이르는 것으로 파악된다.

SK텔레콤이 유심 해킹 사고와 관련해 “SKT가 계약 해지 고객에게 위약금을 면제하라”는 정부의 요구를 수용하기로 했다. SK텔레콤은 4일 민관합동조사단의 사이버 침해사고 조사결과 발표 직후 기자회견을 열고 “정부의 판단에 따라 지난 4월 18일 24시 기준으로 약정을 해지한 고객과 오는 14일까지 해지 예정인 고객을 대상으로 위약금을 면제한다”고 발표했다. 또 오는 15일부터 전 고객에게 8월 통신요금을 50% 할인할 예정이다. 이는 SKT망을 사용하는 알뜰폰 고객에게도 동일하게 적용된다. 이와 더불어 전 고객에게 매월 데이터 50GB를 추가 제공하는 등의 지원책을 제시했다. 이와 더불러 향후 5년간 총 7000억원을 투자해 정보보호 체계를 강화할 방침이다. 유영상 SK텔레콤 최고경영자(CEO)는 “민관합동조사단의 조사 결과를 엄중하게 받아들이며 사이버 침해 사고에 대해 다시 한 번 고객과 사회에 진심으로 사과드린다”고 밝혔다.

정부가 SK텔레콤 해킹 사고로 계약을 해지하는 이용자들에게 위약금을 면제해야 한다고 판단했다. 과학기술정보통신부는 4일 진행한 민관합동조사단 결과 발표에서 “이번 침해 사고가 이용자의 위약금 면제에 해당하는 SK텔레콤의 귀책사유로 판단된다”며 이같이 밝혔다. 조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과 악성코드 33종을 확인했다. 지난 5월 19일 발표한 2차 중간조사 결과인 ‘감염서버 23대·악성코드 25종’에서 각 5대·8종 늘었다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 밝혀졌다. 유출 규모는 9.82GB, IMSI 기준 약 2696만 건으로 나타났다. 가입자 전원의 유심정보에 해당하는 분량이다. SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하지만, HSS 관리서버 계정정보를 타 서버에 평문으로 저장하는 등 계정정보 관리에서 부실이 드러났다. SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생해 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견했지만, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따른 신고 의무를 이행하지 않았다. 또 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견했지만 해당 서버에 대한 로그기록 6개 중 1개만 확인해 해커가 서버에 접속한 기록을 확인하지 못했다. 세계이동통신사업자협회(GSMA)는 유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 권고하고 있다. 타 통신사들은 이를 암호화해 저장하고 있지만 SK텔레콤은 암호화하지 않았다. 이밖에 지난 4월 해킹이 드러나 자료 보전 명령을 받았지만 서버 2대를 포렌식 분석이 불가능한 상태로 제출한 점 등도 지적됐다. 정부는 “자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정”이라고 밝혔다. 정부는 사고 초기에 SK텔레콤 이용약관의 위약금 면제 규정을 이번 침해사고에 적용이 가능한지에 대해 법률 자문을 받았다. SK텔레콤 이용 약관 제43조에는 사업자 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다. 당시 법률 자문기관들은 SK텔레콤의 과실이 인정된다면 이용자가 계약 해지 시 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 5개 중 4개 법률 자문기관에서는 이번 침해사고를 SK텔레콤의 과실로 봤다. 조사단은 SK텔레콤이 사업자의 주의의무를 다하지 못했고, 관련 법령이 정한 기준을 준수하지 못했기 때문에 과실이 있는 것으로 최종 판단했다. 또 조사단은 SK텔레콤이 유심정보를 침해사고로부터 보호해서 안전한 통신서비스를 제공(주된 채무)할 의무를 다하지 못한 점 등을 고려해 위약금 면제에 해당하는 귀책사유라고 결론을 내렸다. 류제명 과기정통부 2차관은 “만약 SK텔레콤이 정부 방침과 반대되는 입장을 표명하면 관련된 전기통신사업법상 절차대로 시정명령 요구와 등록 취소 등 관련 행정조치를 진행할 것”이라며 “국민적 관심이 높은 사안인 만큼 조속한 시일에 구체적 방안을 내놓을 것으로 기대한다”고 말했다. 류 2차관은 “그동안 정부가 운영해 온 정보보호 관리 체계나 주요 정보통신 기반 시설보호와 관련 여러 조치들이 보완할 점이 없었는지 등에 대해 국회와 논의해 왔다”며 “국회와 논의한 것들을 정부와 협력해 조만간 구체적 방안을 발표할 것”이라고 설명했다.

SK텔레콤이 24일부터 신규 영업을 재개한다. 사이버침해 사고로 신규 대리점 영업이 중단된 지 약 두 달 만이다. 과학기술정보통신부는 SK텔레콤에 부여한 신규영업 중단을 해제한다고 23일 밝혔다. SK텔레콤이 신규 가입자 모집을 재개할 만큼 유심 물량 공급이 안정화되어 행정지도 목적이 충족됐다는 게 신규영업 재개의 이유다. 이에 따라 SK텔레콤은 오는 24일부터 전국 2600여개 T월드 매장에서 유심을 활용한 신규 가입자 모집이 가능해졌다. 다만 과기정통부는 신규영업을 재개하더라도 기존 가입자의 유심 교체를 최우선 순위로 두고 조치할 것을 요구했다. SK텔레콤에서는 지난 4월 18일 유심 관련 정보가 유출되는 사이버 침해 사고가 발생했다. 해킹 피해 우려가 커지자 SK텔레콤은 가입자에 대한 유심 무상 교체를 결정했지만, 2500만명에 달하는 가입자의 유심 교체 수요가 몰리며 유심 부족 사태가 불거졌다. 지난달 1일 신규영업 중단 행정지도가 내려지자 SK텔레콤은 신규 가입, 번호이동 영업을 중단하고 유심 교체 작업에 주력해왔다. 지난 20일 예약자 대상 유심 교체를 완료했고, 예약 시스템도 새롭게 바꿨다. SK텔레콤 관계자는 “전국 유통망과 협업해 신규 가입 고객들을 위한 서비스를 차질 없이 제공할 예정”이라면서 “침해사고 관련 유심 교체를 희망하는 고객들을 위한 지원은 지속 진행 중”이라고 밝혔다. SK텔레콤은 당국의 사고 조사 결과가 나온 뒤 고객 보상안과 재발방지책 등 후속 조치를 밝힐 예정이다.

3년 전 첫 해킹… 中 해커집단 무게 ‘복제폰 우려’ IMEI도 유출 가능성 SK텔레콤 해킹으로 가입자 2600여만명의 유심(USIM) 정보가 유출된 것으로 확인됐다. 공격은 2022년 6월 15일부터 이뤄졌으며, 해커가 남긴 흔적(로그 기록)이 없는 기간에 금융사기의 ‘열쇠’로도 불리는 단말기 고유식별번호(IMEI)가 유출됐을 가능성도 배제할 수 없다. 하지만 정부는 “스마트폰 복제는 물리적으로 불가능하다”며 ‘쌍둥이폰’ 가능성에 선을 그었다. SK텔레콤 침해사고 민관합동조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 1차 조사 당시 확인된 서버 5대에 18대가 추가 파악돼 해킹 공격을 받은 서버는 23대로 늘었다. 유출이 파악된 유심 정보 규모는 9.82GB로 2695만 7749건에 해당한다. SK텔레콤 가입자 2300여만명에 알뜰폰 가입자 등을 더한 숫자다. 전 가입자의 유심 정보가 유출된 셈이다. 감염이 확인된 서버 중 2대는 개인정보가 임시 관리되는 서버로 IMEI가 유출됐을 수 있다. 방화벽에 로그기록이 남은 지난해 12월 3일부터 지난달 24일까지 데이터 유출이 없다는 사실은 확인됐다. 그러나 최초 악성코드가 설치된 2022년 6월 15일부터 지난해 12월 2일까지 로그기록이 남지 않아 유출 여부를 확인하지 못했다. 다만 과학기술정보통신부는 IMEI가 유출됐더라도 빠져나간 정보로 ‘복제폰’을 만들기는 어렵다고 설명했다. 류제명 과기정통부 네트워크정책실장은 “IMEI 값은 열다섯 자리의 숫자 조합인데 그 숫자 조합만으로는 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사 해석”이라고 말했다. IMEI가 유출된 경우에도 단말과 숫자를 인증하는 인증키 값을 제조사가 갖고 있어 복제폰이 작동하지 않는다는 설명이다. 염흥열 순천향대 정보보호학과 교수는 “현재 서버에 있는 정보만 갖고 금융 피해로 이어지긴 힘들다”고 했다. SK텔레콤은 “어제부터 비정상 인증 차단 시스템(FDS)을 고도화해 불법 복제폰 접근까지 차단할 수 있도록 업그레이드한 솔루션을 적용하고 있다”면서 “불법 유심 인증을 비롯한 다양한 비정상 인증 시도를 통신망에서 실시간 감지하고 차단하는 기술”이라고 설명했다. 복제폰 피해 발생 땐 SK텔레콤이 100% 책임진다고 했다. 정보통신업계와 학계에선 중국 기반으로 추정되는 해커 집단 ‘레드 멘션’의 소행에 무게를 두고 있다. 공격에 사용된 백도어 프로그램(BPF도어)은 3년 전 처음 존재가 보고됐으며 레드 멘션이 주로 활용한 프로그램이다. 비슷한 수법으로 미국뿐 아니라 수십 개국이 공격을 당했다. 임종인 고려대 정보보호대학원 교수는 “이번 공격 정도의 변종은 중국 해커가 아니고서는 쉽지 않다”고 말했다. 글로벌 보안업체 트렌드마이크로는 지난해 7월과 12월 한국의 한 통신사가 BPF도어를 활용한 지능형 지속 공격(APT)에 침투당했다고 밝힌 바 있다. SK텔레콤은 해당 공격은 자사와 관련 없다고 해명했다. 중국 해킹 집단은 돈벌이를 위한 개인정보 유출이 아니라 국가 기간통신망을 겨냥하는 만큼 미국과 공조한 범정부 대책 마련이 필요하다는 지적도 나온다. 실제로 다크웹 등에 SKT에서 탈취된 개인정보가 올라오지 않고 있다. 임 교수는 “개인정보가 아닌 국가 기간통신망 같은 인프라를 노린 공격”이라면서 “정부가 미국과 협력해 해킹의 확실한 증거를 찾고 국가 안보 위협에 대응해야 한다”고 말했다. 다만 BPF도어가 2022년 오픈소스로 공개돼 누구나 변형할 수 있기 때문에 공격자를 특정하는 건 섣부르다는 시각도 있다. 이와 관련, 류 실장은 “(이번 해킹이) 경제적 목적으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과는 다르다”며 “해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다”고 밝혔다.

SK텔레콤 해킹 사건에 대한 배후로 중국 정부의 지원을 받은 해커 집단이 지목되고 있다. 19일 SKT 침해사고 민관합동조사단은 정부서울청사에서 진행한 2차 조사결과 중간발표에서 BPF도어(BPFDoor) 및 파생 악성코드 공격으로 가입자 식별키 기준 약 2700만건의 유심 정보가 유출됐다고 밝혔다. 통신 업계에 따르면 SKT 서버에서 발견된 BPF도어는 3년 전 최초로 존재가 보고된 백도어 프로그램이다. PwC가 2022년 공개한 보고서에 따르면 중국 해커 집단 레드 멘션(Red Menshen)은 중동, 아시아 지역 통신사를 공격하면서 BPF도어를 활용 중이다. 미국 정보보안 기업 트렌드마이크로도 지난달 보고서에서 BPF도어의 숨겨진 컨트롤러로 중국의 지능형 지속 공격(APT) 그룹 레드 멘션을 지목했다. 트렌드마이크로는 2024년 7월과 12월 두차례에 걸쳐 국내 통신사가 BPF도어 공격을 받았다고도 밝혔다. 글로벌 보안 기업 사이버리즌이 발표한 ‘소프트 셀 작전’ 보고서에 따르면 통신사를 목표로 한 공격은 장기간에 걸친 정밀 추적을 위한 기반 정보 확보가 주목적이다. 장기간에 걸쳐 특정 인물의 통화 상대, 시각, 빈도, 위치정보를 수집하고, 이를 통해 행동 패턴과 사회적 관계를 몰래 알아낼 수 있다는 것이다. 국내 통신업계에서는 이번 SKT 해킹 사태가 미·중 사이버 전쟁의 연장선에 있다는 분석을 내놓는다. 백악관은 지난해 12월 중국이 최소 8개의 미국 통신회사를 해킹해 고위 당국자와 정치인의 전화 통화, 문자 메시지 등 통신 기록에 접근했다고 발표하면서 “미국뿐 아니라 수십 개 이상의 다른 국가들도 중국 해커들의 공격 대상이 됐다”고 했다. 미 연방수사국(FBI)도 지난해 10월 중국 당국의 지원을 받는 것으로 알려진 볼트 타이푼(Volt Typhoon)·솔트 타이푼(Salt Typhoon)·플랙스 타이푼(Flax Typhoon) 등 3개의 거대 사이버 스파이 활동 조직을 적발했다. 이들은 미국, 베트남, 루마니아 등 19개국에서 26만개가 넘는 소규모 사무실과 사물인터넷 기기에 악성 소프트웨어를 심는 방식으로 활동해온 것으로 나타났다. 월스트리트저널(WSJ)은 “중국의 정보 수집 및 보안 작업 인원이 최대 60만명에 이를 수 있다”고 추정하며 “일부 중국 해커들은 정부 지원을 받는 것으로 알려졌다”고 보도했다. SKT 해킹의 배후로 지목되는 레드 멘션 또한 3년이라는 긴 시간 동안 국내 통신사에 악성코드를 심어 침투해 있었다는 점에서 미뤄볼 때, 중국 정부의 지원을 받는 해킹조직 아니냐는 분석이 나온다.

SK텔레콤 유심 해킹 사태와 관련해 이용자 9000여명이 총 46억원 규모의 손해배상 청구 소송을 공동으로 제기했다. 로피드법률사무소 하희봉 변호사는 16일 SK텔레콤 이용자 9175명을 대리해 1인당 50만원의 위자료를 지급하라는 손해배상 청구 소장을 제출했다. 공동소송의 전체 청구 액수는 46억원 규모이며, 이번 소송은 1차 소송이다. 하 변호사는 이날 서울 서초구 법원종합청사 정문에서 기자회견을 열고 “피해자들은 단순한 개인정보 유출을 넘어 유심 복제라는 현실적인 공포와 극심한 불안감에 시달리고 있다”며 “유심을 교체해야 하는 불편은 물론, 일부 금융 서비스 이용 제한 등 일상생활에서도 큰 지장을 겪고 있다”고 주장했다. 이어 “이번 소송은 SK텔레콤이 정보통신서비스 제공자로서 마땅히 지켜야 할 개인정보 보호조치 의무와 침해사고 발생 시 신속한 신고 의무를 명백히 위반해 발생한 예견된 인재임을 밝히고자 하는 것”이라고 강조했다. 로피드법률사무소는 SK텔레콤에 ▲정보보호 의무 및 신고 의무 위반 등 명백한 과실 인정 ▲모든 피해자에 진심으로 사죄 ▲유출 정보의 정확한 내용과 범위 공개 및 유심 비밀키(K) 유출 여부 공개 ▲2차 피해 방지 조치 등을 요구했다. 또 정부 당국에도 “SK텔레콤에 엄중한 책임을 묻는 한편, 통신사 핵심 서버의 국가적 관리·감독 강화 등 실질적인 제도 개선에 즉각 착수하라”고 촉구했다.

업비트·빗썸·코인원·코빗·고팍스 등 5대 가상자산거래소가 금융보안원 사원으로 가입, 이용자 가상자산 보호를 금융권 수준으로 강화한다. 코인 거래소가 금융보안원 사원으로 가입하는 건 이번이 처음이다. 보안 관점에선 제도권 금융사 지위를 인정받는다는 의미다. 금융위원회는 15일 권대영 사무처장 주재로 금융감독원, 금융보안원, 금융결제원, 한국거래소 등 금융보안 유관 기관들과 함께 금융권 금융보안 강화 간담회를 개최했다. 이날 간담회에는 이석우 두나무 대표, 이재원 빗썸 대표, 이성현 코인원 대표, 오세진 코빗 대표, 조영중 스트리미 대표, 디지털자산거래소 공동협의체(DAXA) 김재진 부회장이 참석했다. 이날 간담회를 계기로 5개 원화 가상자산사업자는 금융보안원 사원으로 가입했다. 금융보안원은 “금융보안원에서 제공하는 보안관제, 이상거래 정보공유, 침해사고 예방과 대응 등 금융권 수준의 다양한 보안 업무를 지원받게 됐다”고 소개했다. 금융보안원은 가입 금융사의 회비로 운영되는 비영리 사단법인으로 디도스(DDoS)·해킹 등 금융사에 대한 사이버 공격을 24시간 탐지·공유해주는 통합 보안관제가 주 업무다. 주요 금융사들은 모두 가입했으며 현재 회원사는 은행 19곳, 금융투자사 36곳, 보험사 42곳을 포함해 총 200곳이다. 가상자산거래소의 가입은 이번이 처음이다. 금융보안원은 회원사 가입 규정을 개정해 가상자산 거래소가 금융보안원에서 금융보안 서비스를 받을 수 있게 했다. 권 사무처장은 간담회 축사에서 “가상자산 생태계 육성을 위한 스테이블코인 규제 체계 마련, 사업자·진입 요건 세분화 등을 포함한 ‘가상자산 2단계법’ 마련을 추진하는 상황에서, 가상자산사업자의 자체 노력에 더해 2중-3중의 물샐틈없는 보안 체계 구축은 제도개선의 선결 요건”이라고 강조했다. 그러면서 “이번 가상자산사업자의 금융보안원 사원 가입은 전문적인 보안 시스템이 마련되는 기반이 조성된 것”이라고 평가했다.

최태원 SK그룹 회장이 7일 SK텔레콤 유심 해킹 사건에 대해 대국민 사과하고 문제 해결에 최선을 다하겠다고 약속했다. 해킹 사고 이후 19일 만이다. 최 회장은 이날 서울 중구 SKT 본사에서 열린 해킹 사태 관련 일일 브리핑에 참석해 “최근 SK텔레콤 사이버 침해사고로 고객과 국민에게 불안과 불편 초래했다. SK그룹 대표해서 사과드린다”며 이같이 밝혔다. 그는 “바쁜 일정 속에서 매장까지 찾아와 오래 기다렸거나 해외 출국 앞두고 촉박한 일정으로 마음 졸인 많은 고객에게 불편을 드렸다. 지금도 많은 분 피해 없을지 걱정하고 있다고 생각한다. 이 모든 분께 다시 한번 사과드린다”고 말했다. 이어 사고 이후 소통 미흡에 대해 “안타깝게 생각한다”며 “고객 입장에서 세심하게 살피지 못했고 저를 비롯한 경영진 모두 뼈아프게 반성한다. 고객뿐 아니라 국회 정부 기관 등 많은 곳에서의 질책이 마땅하고 이를 겸허히 받아들이겠다”고 했다. 국회에서 불거진 ‘최태원 회장 유심 교체 의혹’에 대해 최 회장은 “유심보호서비스에 가입했고 유심 교체는 하지 않았다”고 밝혔다. 그러면서 “해외 출장에 나서는 오는 15일까지 로밍 고객 유심보호서비스 가입 불가 문제를 해결하겠다”고 선언했다. 이번 사건으로 느낀 개인적 심경에 대해 묻자 “지금까지 보안을 정보통신(IT)만의 영역이라 생각하고 전담 팀에만 의지했다”며 “이 사건으로 보안이 그룹 전반에 얼마나 중요한지 통감했고 앞으로 투자를 늘리겠다”고 했다. 고객 위약금 면제를 놓고는 “나의 생각으로 할 수 있는 것이 아니다”라면서도 “형평성·법적 문제를 같이 검토하기 위해 SK텔레콤 이사회가 계속 논의 중”이라고 답했다.

그랜드코리아레저(GKL)가 2일 서울 강남구 삼성동 GKL 본사 회의실에서 긴급 정보보안 회의를 열었다. GKL은 “최근 발생한 SKT의 유심 해킹 사건을 비롯해 지능화되는 사이버 위협에 대응하고, 정보보호 체계를 보다 강화하기 위한 목적으로 마련된 회의”라며 “윤두현 사장을 비롯해 본사, 3개 영업점의 실·점장과 주요 부서 팀장 등이 참석한 가운데 ▲사이버 침해사고 예방 및 대응 절차 개선, ▲개인정보 접속기록 관리 강화 방안 ▲USB 등 저장매체 및 VPN 권한 관리 체계 정비 ▲본부와 각 영업장 간 협업체계 점검 등의 주요 현안을 논의했다”고 2일 밝혔다. 윤두현 사장은 이날 “정보보안은 단순한 기술 문제가 아니라 국민 신뢰를 지키는 마지막 방어선”이라며 “단 한 건의 사고로도 조직의 명성이 흔들릴 수 있는 만큼, 모든 임직원이 보안 의식을 갖고 함께 대응해야 한다”고 강조했다. GKL은 “앞으로도 시스템의 고도화와 전 직원 대상의 보안 내재화 교육, 일상 속 보안 습관 생활화 등 점검 체계를 강화할 것”이라고 밝혔다.

유심(USIM) 정보 유출 사태와 관련해 국내 한 법무법인이 SK텔레콤을 형사고발 했다. 법무법인 대륜은 1일 서울 남대문경찰서에 업무상 배임, 위계 공무집행 방해 등 혐의로 SK텔레콤 유영상 대표이사와 보안 책임자 등을 고소, 고발했다고 밝혔다. 고발장은 이날 대륜 기업 법무그룹 소속 손계준, 신종수, 지민희 변호사가 직접 제출했다. 대륜 측은 “SK텔레콤은 이동통신업계 전문가로 이용자의 유심 관련 정보의 보관·활용 등에 사무 처리 필요성을 인지했음에도 관리를 등한시했다. 이동통신 3사 중 지난해 유일하게 영업이익이 증가했음에도 정보보호 투자비를 감액하는 등 법인의 이익을 최대로 추구했다”면서 배임 혐의가 있다고 봤다. 대륜은 또 SK텔레콤이 해킹당한 사살일 관계기관에 늦게 신고했다는 의혹과 관련해서도 “정부 기관의 적절한 초기 대응을 방해한 중대한 위법”이라고 주장했다. SK텔레콤은 지난 18일 오후 6시쯤 사내 시스템에서 이상 징후를 인지했으며, 같은 날 오후 11시쯤 악성코드를 이용한 공격을 받은 것을 확인했다. 그러나 한국인터넷진흥원(KISA)에 신고한 때는 20일 오후 4시 46분쯤이어서 지연 보고 의혹이 일고 있다. 정보통신 서비스 제공자는 침해사고가 발생한 것을 알게 되면 24시간 내에 KISA에 보고해야 한다. 현재 대륜은 집단 손해배상을 청구할 계획이며, 대륜 홈페이지를 통해 집단 소송에 참여한 사람은 이날 오후 2시까지 900여명이었다. 대륜 관계자는 “수사기관의 철저한 수사와 책임 규명을 촉구하며, 실체적 진실이 투명하게 공개되기를 바란다”고 밝혔다.

농촌진흥청 홈페이지 등에서 47만 9000여건의 개인정보가 유출된 것으로 확인됐다. 지난 7일 농진청 산하 국립축산과학원 축사로 홈페이지의 개인정보 3000여건이 유출된 사건을 조사하는 과정에서 추가 정보 유출 사실이 드러났다. 농진청은 국립축산과학원 축사로 홈페이지의 개인정보 유출 사건을 조사하는 과정에서 개인정보가 추가 유출된 사실을 확인했다고 28일 밝혔다. 농진청은 이날 ‘개인정보 유출에 대한 안내 및 사과의 말씀’ 게시글을 통해 “농촌진흥청의 모든 정보시스템에 대해 해킹여부를 점검한 결과 이상이 없는 것으로 확인됐지만, 당시 해킹을 당한 정보화 사업 용역업체의 저장장치 데이터를 분석하는 과정에서 또 다른 개인정보가 유출된 정황을 지난 25일 확인했다”고 알렸다. 확인된 데이터는 과거 농촌진흥청 홈페이지 회원정보(2018년), 국가농작물병해충관리시스템 회원정보(2019년), 농약안전정보시스템 회원정보(2020년), 농촌진흥사업종합관리시스템 회원정보(2022년), 농업유전자원서비스시스템 회원정보(2023년) 등 47만 9000여 건으로 추정된다. 다만 농진청은 주민등록번호 등 개인식별번호는 수집 항목이 아니라 없다고 강조했다. 농진청은 “개인정보 침해사고 대책반을 구성하여 2차 피해 예방에 만전을 기하고, 개인정보 분쟁조정 신청 창구 안내 및 2차 피해 유형과 대응 요령에 대해 적극 안내하고 있다”며 “개인정보보호법에 따라 개인정보보호위원회 신고 등 필요한 조치를 했다”고 설명했다. 그러면서 “개인정보보호위원회의 조사와 경찰의 수사에 적극 협조해 사고 경위를 철저히 규명하고, 면밀한 원인 분석을 통해 유사 사고의 재발 방지를 위한 종합대책을 마련하겠다”며 “스미싱 등 2차 피해를 예방하기 위해 비밀번호를 변경하는 등 각별한 주의를 당부드리며 정보서비스 이용자께 심려를 끼쳐드려 진심으로 사과의 말씀을 드린다”고 사과했다.

사이버 위협 빈틈없이 대응… 정보보안 관리 철저 한국중부발전이 국가 보안의 기업문화 정착을 위해 노력을 이어가고 있다. 임직원들의 참여와 협조로 정부 보안 평가에서 괄목할 만한 실적을 달성했고, 전 직원의 보안 의식 함양을 통해 정보보안 수준 제고, 침해사고 예방 및 안정적 발전 운영에 속도를 내고 있다. 15일 보안업계에 따르면 중부발전은 지난해 12월 ‘제16회 산업통상자원 정보보안 컨퍼런스’에서 시행된 보안 평가에서 최고 보안 수준을 달성하며 ‘정보보안감사’, ‘해킹메일 훈련’, ‘개인정보보호’ 3개 부문에서 모두 산업부 장관 표창을 받았다. 이는 지능화하는 사이버 위협에 대응하기 위해 AI 기반 이상 행위 탐지시스템을 구축하고, 통합 보안관제와 정보시스템 취약점을 개선하는 등 정보보안 활동을 체계적으로 수행한 결과라는 평가다. 최신 사이버 위협을 선제적으로 탐지·차단해 침해사고 제로화를 실현했다. 또한 전 임직원을 대상으로 한 정보보안 교육과 분야별 훈련, 내부감사를 통해 개인정보보호와 데이터관리 투명성을 실현해 정보보안 기업문화를 정착했다. 이영조 중부발전 사장은 “산업부 주관 정보보안평가 우수기관 3관왕 달성은 전 직원의 적극적인 참여와 보안 의식을 바탕으로 이뤄낸 결실”이라며 “국민에게 안정적으로 전기를 공급할 수 있도록 사이버안전 관리에 지속적으로 힘쓰겠다”고 밝혔다.

전북대학교 통합정보시스템 사용자 32만여명의 개인정보가 외부 해킹으로 유출됐다. 1일 전북대에 따르면 지난 7월 28일 새벽 3시, 밤 10시, 밤 11시 20분 등 세 차례에 걸쳐 대학통합정보시스템인 ‘오아시스’의 보안 취약점을 이용한 해커의 개인정보 탈취 시도가 확인됐다. 이에 따라 학생과 졸업생, 평생교육원 회원 등 32만 2425명의 개인정보가 유출된 것으로 파악됐다. 유출된 개인정보는 이름과 주민등록번호, 전화번호, 이메일, 학사 정보 등이다. 전북대는 지난달 29일 오후 1시쯤 해킹 시도를 인지한 후 공격 IP(홍콩, 일본)와 불법 접속 경로를 차단하고, 대학통합정보시스템 취약점에 대한 보완 조치를 완료했다. 또 기관 개인정보 유출 사고 대응 매뉴얼에 따라 즉시 개인정보침해사고 대응반을 꾸리고, 72시간 이내인 8월 1일 오후 1시 개인정보 유출에 대한 피해 사실을 대학 홈페이지와 개별 공지를 통해 알리고 공식 사과했다. 대학 측은 개인정보 유출 피해를 최소화하기 위해 피해 사실 조회 페이지를 운영하고, 2차 피해 접수를 위한 피해 접수창구도 별도로 운영하고 있다. 전북대 홈페이지 내에 마련된 ‘개인정보 유출 내역 조회하기’를 이용해 개인정보 유출 여부를 확인할 수 있다. 이와 함께 교육부 사이버안전센터(ECSC) 신고 등 유관기관과 협력해 해당 사건을 조사하고 있다. 김순태 전북대 정보혁신처장은 “결코 일어나서는 안 될 일이 발생한 데 대해 머리 숙여 사과드린다”며 “해킹 시도 사실 확인 후 즉시 공격 IP를 차단하고, 특히 개인정보 유출로 인한 관련 문의에 대응하기 위한 대응반을 운영하는 등 대책을 마련하고 있다”고 말했다. 이어 “이번 사건을 계기로 통합정보시스템을 포함한 모든 정보시스템 접근에 대한 2단계 인증 의무화를 포함해 대폭 강화된 보안 대책을 수립하고, 홈페이지 등 해킹 취약 부분에 대한 심층 점검 등을 신속하게 추진하겠다”며 “개인정보를 취급하는 전 구성원들의 개인정보보호에 대한 인식 제고 및 개인정보 관리체계를 더욱 개선하고, 향후 유사한 침해사고가 재발하지 않도록 최선의 노력을 다하겠다”고 덧붙였다.