개인정보보호위원회가 시민단체의 조사 요청 등으로 KT·LG유플러스(U+)의 고객 개인정보 유출 피해가 있었는지 확인하고 있다. 두 회사는 해킹 정황 제보와 무단 소액결제 등이 잇달아 나오고 있지만 유출 신고를 하지 않았다.

개인정보보호위원회는 KT와 LGU+ 개인정보 유출 의혹에 대한 조사에 착수했다고 10일 밝혔다.

개인정보위에 따르면 최근 KT 이용자를 대상으로 한 무단 소액결제 사건이 발생하며 개인정보 유출 의혹이 제기되고 있다. 특히 지난달 미국의 보안 전문지 프랙(Phrack)은 두 회사를 공격한 해커집단을 재해킹한 화이트해커를 인용해 KT의 인증서(SSL 키), LGU+의 내부 서버 관리용 계정 권한 관리 시스템(APPM)의 소스 코드 등의 유출이 의심된다고 보도했다.

그간 개인정보위는 해당 사실을 언론보도 등을 통해 인지하고 자료요구 및 면담, 유관기관 등과 정보공유 등 사실관계를 확인해 왔다.

개인정보위는 “해당 기업으로부터 별도의 개인정보 유출 신고는 접수되지 않았다”며 “시민단체의 조사요청 민원과 소액결제 피해자의 침해 신고 등이 접수돼 조사에 착수했다”고 설명했다. 그러면서 “구체적인 사건 경위와 개인정보 유출 여부 등을 집중적으로 확인할 것”이라고 말했다. 개인정보 보호법 제63조에는 법 위반에 대한 신고를 받거나 민원이 접수된 경우, 개인정보위 조사가 가능하다.

이런 가운데 일부에서는 두 회사가 해킹 사실을 은폐하려 한 것 아니냐는 주장도 나온다.

국회 과학기술정보방송통신위원회 황정아 의원(더불어민주당)에 따르면 한국인터넷진흥원(KISA)은 지난 7월 19일 두 회사에 해킹 정황 제보를 전달했다.

이는 프랙(Phrack)의 보도가 나오기 2주 전 일이다. 하지만 두 회사는 자체조사 진행 결과 침해사고 정황을 발견하지 못했다고 KISA에 회신했다. 이후 KISA는 8월 22일 각사에 데이터 유출 자료를 직접 보내며 “침해사고 정황이 있으니 침해사고 신고를 진행하라”고 권고했다. 하지만 두 회사는 이를 묵살했다.

두 회사가 기업의 ‘자진 신고’가 있어야 민관합동조사단이 현장 정밀조사에 착수할 수 있다는 점을 이용해 고의적으로 조사를 막은 의혹이 있다는 것이 황 의원의 주장이다.

한편 개인정보위는 KISA와 함께 이달부터 3개월간 ‘온라인 개인정보 불법유통 집중 모니터링’을 실시한다. 이번 조치는 최근 통신사와 카드사 해킹 사고가 잇따르며 국민 불안이 커지는 가운데, 유출된 개인정보가 불법 거래돼 금융사기 등 2차 피해로 이어지고 있다는 판단에 따른 것이다.

개인정보위는 모니터링 기간 주민등록번호, 휴대전화번호, 계좌번호, 신용카드 정보 등이 노출된 게시물과 개인정보가 포함된 데이터베이스를 판매하거나 구매하는 게시물을 중점 탐지한다.

특히 개인정보위는 개인정보 불법유통 매매 근절을 위해 경찰과 공조해 상습 매매자 단속도 강화한다.

장세풍 기자 spjang@naeil.com