SK텔레콤이 자사 이용자 2564만명(알뜰폰 포함) 전원에게 개인정보 유출 사실을 오는 9일까지 1차로 개별 통지하기로 했다. 이는 개인정보보호위원회가 지난 2일 긴급회의를 통해 전 이용자 대상의 신속한 통지를 의결한 데 따른 후속 조치다.

이번 유출 사고는 SK텔레콤의 가입자인증시스템(HSS)에 저장돼 있던 이용자 정보가 외부로 유출되며 발생했다. 현재까지 확인된 유출 항목은 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 유심 관련 정보를 포함한 총 25종이다.

개인정보위는 휴대전화번호가 보이스피싱, 스미싱, 스팸 등에 악용될 수 있으며, IMSI와 유심 인증키 유출은 휴대전화를 통한 본인 인증이 일반화된 환경에서 국민 생활에 심각한 영향을 미칠 수 있다고 우려했다.

SK텔레콤은 사고 발생 직후 홈페이지에 공지를 올렸지만, 개인정보보호법이 정한 개별 통지 요건을 충족하지 않았다는 점에서 비판을 받았다. 당시 유출 대상자를 명확히 특정하기 어려운 상황에서 현행 법령상 통지 기준이 모호했던 점도 논란이 됐다.

이와 함께 개인정보위는 SK텔레콤 내 개인정보 처리 시스템 전반에 대한 전수조사에 착수했다. 조사 과정에서 유출의 주요 경로로 지목된 시스템에 기본적인 보안 프로그램인 백신조차 설치되지 않았던 사실이 드러났다. 이에 따라 사고가 발생한 HSS 서버와 과금 관련 WCDR 서버뿐 아니라, 개통·인증·과금 시스템 등 핵심 개인정보처리시스템을 대상으로 법적 안전조치 이행 여부를 정밀 점검하고 있다.

개인정보위는 "유출 경로가 된 주요 시스템에 악성프로그램 방지를 위한 보안프로그램(백신)이 설치되지 않는 등 개인정보 관련 기술적·관리적 조치가 미흡했다고 판단했다"며 "1차적으로 침해사고가 있었던 음성통화관련(HSS) 서버 및 과금분석장비(WCDR) 외 휴대전화 개통 시스템, 인증 시스템, 과금 시스템 등 주요 개인정보처리시스템을 대상으로 안전조치 의무 준수 여부에 대한 전수조사를 진행 중"이라고 밝혔다.