9일 한 시민이 서울 kt 판매점 앞을 지나고 있다. [연합뉴스]

일부 통신사에서 해킹 의혹이 불거지자 정부가 조사에 나섰다. 개인정보보호위원회(개인정보위)는 10일 “KT와 LGU+의 개인정보 유출 의혹에 대한 조사에 착수한다”고 밝혔다.

미국의 보안전문지 프랙(Phrack)은 최근 북한 정찰총국 소속으로 추정되는 해커 조직 김수키(Kimsuky)가 KT와 LG U+를 해킹했다는 의혹을 제기한 바 있다. 김수키가 KT 웹서버 보안 인증서, LG유플러스 내부 서버 계정 정보, 직원 정보 등을 보유하고 있다는 주장이다.

또 KT 이용자들이 휴대전화 소액결제로 피해를 보는 사례도 확산하고 있다. 경기남부경찰청 사이버수사대에 따르면 지난달 27일부터 이달 9일 오후 6시까지 KT 소액결제 피해 사례 124건이 접수됐다. 경찰이 확인한 피해자들은 모두 KT 통신사 가입자다.

KT·LGU+ 조사 착수한 개인정보위

서울의 한 휴대폰 매장 앞으로 시민이 지나가고 있다. [뉴스1]

 개인정보위 관계자는 “해킹 의혹과 소액결제 유출 의혹에 대해 각각 조사해달라는 민원을 받았고, 이 과정에서 개인정보 침해의 개연성이 있다고 판단해 조사를 시작하게 됐다”고 설명했다.

다만 해당 기업으로부터 별도의 개인정보 유출신고는 접수되지 않았다고 한다. 개인정보위 관계자는 “그간 (KT와 LGU+ 해킹 의혹을) 언론보도 등을 통해 인지하고, 해당 기업 대상 자료요구·면담, 유관기관 정보공유 등을 통해 사실관계를 확인해 왔다”고 밝혔다.

시민단체의 조사 요청도 정부가 나선 이유다. 서울YMCA는 지난 4일 “통신사의 수많은 가입자가 매우 불안해하고 있다”면서 “개인정보위가 신속한 조사로 사실관계를 규명하고 이용자 보호에 나서야 한다”고 밝혔다.

개인정보보호법 제63조 1항에 따라 개인정보위는 법 위반에 대한 신고를 받거나 민원이 접수된 경우 정보 주체의 개인정보 보호를 위해 필요한 경우 조사가 가능하다. 개인정보위 관계자는 “시민단체의 조사요청 민원과 소액결제 피해자의 침해신고 등이 접수돼 경위 확인할 예정”이라고 설명했다.

KISA, 7월 해킹 정황 전달

고학수 개인정보보호위원회 위원장이 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다.[뉴스1]

프랙이 제기한 해킹 의혹과 관련해 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원실이 KT와 LGU+로부터 제출받은 자료에 따르면, KT와 LG U+는 지난 7월 19일 한국인터넷진흥원(KISA)으로부터 해킹 정황을 전달받았다. 당시 한국인터넷진흥원은 두 통신사에 ‘침해 정황을 확인했으니 침해 사고 발생 여부를 확인하라’는 취지의 공문을 발송했다.

이에 대해 KT는 7월 21일에 자체조사 결과 ‘침해 정황이 없다’고 회신했고, LG유플러스도 지난달 13일 ‘침해 정황이 없다’ 등의 취지로 회신한 것으로 조사됐다. 현행 정보통신망법은 기업의 자진 신고가 있어야 과학기술정보통신부가 민관 합동조사단을 꾸려 현장 정밀조사에 착수할 수 있다.

황정아 의원실은 “KT는 8월 8일에, LG U+는 8월 10일에 각각 데이터 유출 사실을 인지했다”며 “KISA의 경고에도 약 20일간 데이터 유출 사실을 파악하지 못했을 뿐 아니라 이후에도 데이터 유출 사실을 은폐한 것”이라고 주장했다.

이에 대해 개인정보위는 “구체적인 사건 경위와 개인정보 유출 여부 등을 집중적으로 확인할 예정”이라고 설명했다.