최장혁 개인정보보호위원회 부위원장이 28일 정부서울청사에서 열린 정례브리핑에서 발언하고 있다. 개인정보위 제공

SK텔레콤 해킹 사고를 조사 중인 개인정보보호위원회가 이번 사고는 국내 1위 통신사 메인 서버에서 개인정보 유출이 발생한 상징적 사례라며 과징금 규모도 과거보다 훨씬 커질 것으로 전망했다.

최장혁 개인정보보호위원회 부위원장은 28일 정부서울청사에서 열린 정례브리핑에서 SK텔레콤 해킹 사고와 관련해 “메인 서버에서 (개인정보) 유출이 있었다고 본다”며 “우리나라 1위 통신사의 메인 서버가 해킹당했다는 자체가 굉장히 상징적”이라고 말했다.

최 부위원장은 “충분한 안전 조치가 조금 부족하지 않냐는 생각은 들지만 이제 조사를 해봐야 하는 상황”이라고 말했다. 이어 “(해킹된) 유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다”고 전했다.

개인정보위는 지난 22일 SKT로부터 유출 신고를 받은 뒤 바로 조사에 착수했다. 사내 변호사 및 조사관, 외부 전문가 등으로 구성된 태스크포스(TF)를 가동했다. 최 부위원장은 아직 조사 초반 단계인 만큼 구체적인 유출 정황과 유출된 항목을 언급하기엔 이르다고 봤다. 그는 “(고객의) 주민등록번호 등이 (유출된 정보에) 포함됐다고 단정적으로 말씀드리기 어렵다”고 했다.

SKT가 가입자 2300만명을 보유한 ‘이동통신사 1위’인 만큼 과징금 규모가 과거 사례보다 매우 클 것이라는 관측도 나왔다. 최 부위원장은 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었기에 (SKT의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다”고 설명했다.

앞서 개인정보위는 2023년 7월 부가서비스 가입·해지 기능을 제공하는 고객인증시스템에서 30만명의 고객 정보가 유출된 LG유플러스에 68억원을 부과했다. 당시 개인정보보호법에서는 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’로 정했다. 하지만 재작년 9월 법 개정 이후 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 이때 관련 없는 매출액을 기업이 입증해야 하기 때문에 과징금 부담이 커졌다.

최 부위원장은 “굴지의 대기업도 개인정보 예산이 눈에 띌 만큼 늘지 않았고 인력 확보도 마찬가지”라며 “개인정보 분야에 대한 많은 투자와 인력 보강이 절실한 시점이라 생각한다”고 말했다.