SKT 유출 데이터 9.7GB. "LG유플러스-KT 유출보다 중대"
"포렌식 결과 짧게는 2~3개월, 길게는 1년 이상 걸려"
SK텔레콤에서 해킹 공격을 통해 외부에 유출된 정보가 최대 9.7기가바이트(GB) 분량으로 파악됐다.
29일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원이 SK텔레콤에서 제출받은 자료에 따르면, 지난 18일 오후 6시 9분 이 회사 보안관제센터에서 비정상적 데이터 이동이 첫 감지된 이래 이동한 데이터양은 9.7GB에 달했다.
이는 문서 파일로 환산할 경우 300쪽 분량의 책 9천권(약 270만쪽)에 달하는 방대한 양이라고 최 의원은 강조했다. 유출된 데이터에는 유심(USIM) 관련 핵심 정보도 포함됐다.
SK텔레콤은 보안관제센터에서 데이터가 빠져나간 트래픽 이상을 감지한 18일 밤 11시 20분 과금 분석 장비에서 악성코드가 심어진 사실과 함께 파일을 삭제한 흔적을 발견했다. 이어 다음 날인 19일 오전 1시 40분 악성코드가 발견된 과금 분석 장비를 격리하고 침입 경로 및 유출 데이터 분석에 착수, 당일 오후 11시 40분 홈가입자서버(HSS)의 데이터 유출이 의심되는 정황을 확인했다.
이와 관련, 고학수 개인정보보호위원회 위원장은 전날 국회 정무위에 출석해 '늑장 신고' 의혹에 대해 "신고서상 인지 시점은 4월 19일 23시 40분"이라며 "개인정보위에 신고가 접수된 시점은 4월 22일 오전 10시경"이라고 밝혔다. 개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 뒤 72시간 이내에 개인정보위에 신고해야 한다.
그는 "신고서에 제출된 시간이라고 하면 개인정보위에 신고한 시간은 늦지는 않은 것"이라면서도 "지난 18일에 (유출을) 발견된 것 아니냐는 의혹이 있어서 사실관계를 명확히 밝혀야 할 부분"이라고 덧붙였다.
그는 이번 해킹 사고의 포렌식 결과가 나오는 시점에 대해선 "보통 짧게 걸리면 2∼3개월이고 시스템이 복잡한 경우 1년 이상 걸리기도 한다"며 조사 장기화 가능성을 시사했다.
그러면서 "과거 LG유플러스나 KT (유출) 사건에 비해서도 훨씬 더 중대한 상황"이라며 "2년 전 (개인정보보호)법이 개정되면서 처벌 조항도 과거에 비해 강화됐기에 잠재적으로는 상당한 수준의 처벌 가능성이 있다"며 처벌을 시사했다.
29일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원이 SK텔레콤에서 제출받은 자료에 따르면, 지난 18일 오후 6시 9분 이 회사 보안관제센터에서 비정상적 데이터 이동이 첫 감지된 이래 이동한 데이터양은 9.7GB에 달했다.
이는 문서 파일로 환산할 경우 300쪽 분량의 책 9천권(약 270만쪽)에 달하는 방대한 양이라고 최 의원은 강조했다. 유출된 데이터에는 유심(USIM) 관련 핵심 정보도 포함됐다.
SK텔레콤은 보안관제센터에서 데이터가 빠져나간 트래픽 이상을 감지한 18일 밤 11시 20분 과금 분석 장비에서 악성코드가 심어진 사실과 함께 파일을 삭제한 흔적을 발견했다. 이어 다음 날인 19일 오전 1시 40분 악성코드가 발견된 과금 분석 장비를 격리하고 침입 경로 및 유출 데이터 분석에 착수, 당일 오후 11시 40분 홈가입자서버(HSS)의 데이터 유출이 의심되는 정황을 확인했다.
이와 관련, 고학수 개인정보보호위원회 위원장은 전날 국회 정무위에 출석해 '늑장 신고' 의혹에 대해 "신고서상 인지 시점은 4월 19일 23시 40분"이라며 "개인정보위에 신고가 접수된 시점은 4월 22일 오전 10시경"이라고 밝혔다. 개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 뒤 72시간 이내에 개인정보위에 신고해야 한다.
그는 "신고서에 제출된 시간이라고 하면 개인정보위에 신고한 시간은 늦지는 않은 것"이라면서도 "지난 18일에 (유출을) 발견된 것 아니냐는 의혹이 있어서 사실관계를 명확히 밝혀야 할 부분"이라고 덧붙였다.
그는 이번 해킹 사고의 포렌식 결과가 나오는 시점에 대해선 "보통 짧게 걸리면 2∼3개월이고 시스템이 복잡한 경우 1년 이상 걸리기도 한다"며 조사 장기화 가능성을 시사했다.
그러면서 "과거 LG유플러스나 KT (유출) 사건에 비해서도 훨씬 더 중대한 상황"이라며 "2년 전 (개인정보보호)법이 개정되면서 처벌 조항도 과거에 비해 강화됐기에 잠재적으로는 상당한 수준의 처벌 가능성이 있다"며 처벌을 시사했다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>
