IT > IT

[SKT 해킹사고 한달③] 가입자식별번호(IMSI), 주민번호와 같은 개인정보?

등록 2025-05-25 08:30:00 최종수정 2025-05-26 11:36:47

IMSI 2695만건 유출…"통신사가 필요한 정보인데 개인정보 맞아?"

개인정보위 "25종 한꺼번에 유출…조합 자체가 명백한 개인정보"

IMSI, 단독으론 식별 어렵지만 결합하면 가능…'입수 가능성' 고려해야

[서울=뉴시스] 김명년 기자 = SK텔레콤이 가입자 유심(USIM) 정보가 해킹당했다는 사실을 발표한지 한 달이 지난 22일 서울시내 한 SKT 직영점에서 가입자들이 유심 교체 상담을 받기위해 대기하고 있다. 2025.05.22. [email protected]

[서울=뉴시스]송혜리 기자 = "이번 사건은 명백한 개인정보 유출사고에 해당합니다."

고학수 개인정보보호위원장은 지난 21일 정례 브리핑에서 이같이 밝히며 역대급 제재를 예고했다. 개인정보보호위원회는 지난달 22일 SK텔레콤으로부터 신고가 접수되자마자 즉시 조사에 착수했고 전담 태스크포스(TF)를 꾸려 본격적인 법적 검토에 들어갔다.

정부 민관합동조사단 조사 결과, 이제까지 SK텔레콤에서 유출이 확인된 데이터는 가입자 전화번호와 가입자식별키(IMSI) 등 유심 정보 4종과 SK텔레콤 내부 관리용 데이터 21종 등 총 25종이다. 유출된 데이터 규모는 9.82GB, IMSI 기준으로 약 2695만건이다. 주로 유심 관련 정보들이다.

◆다른 정보와 결합해 개인 특정할 가능성 있어…결합이 현실적으로 얼마나 쉬운지는 따져야

이 때문에 정부 제재 수위에 영향을 미칠 핵심 쟁점 중 하나로'가입자식별키(IMSI)'같은 유심 정보를 개인정보로 볼 수 있는지 여부를 꼽는 시각이 많다.

그동안 법적으로 개인정보는 이름이나 주민등록번호, 연락처, 이메일 등 직접적인 인적 정보를 지칭해왔다. 이에 따라 IMSI와 같은 기술적 식별정보를 개인정보로 인정하느냐의 여부는 SK텔레콤 정보유출사고와 비슷한 유사 사례 행정제재와 법적 다툼시 주요한 가이드라인이 될 전망이다.

IMSI는 유심에 담긴 가입자 식별번호를 말한다. 어느 국가의 어느 통신사, 어느 가입자인지 식별한다.

국제 로밍이 일반화되면서 통신사들에게 꼭 필요한 정보이지만, 성명, 주민번호 등과 달리 정보 주체가 잘 모르고, 알 필요도 없다. "굳이 IMSI를 개인정보로 볼 필요까지 있느냐"는 주장이 나오는 이유다.

◆개인정보위 "IMSI, 유출된 조합 전체로 봐야"

하지만 반론이 만만치 않다. IMSI가 다른 신상정보와 결합할 경우 민감한 사생활 정보가 될 수 있다는 주장이다. 예컨대 통신사의 가입자 데이터베이스(DB), 위치 정보, 접속 기록 등과 함께 결합하면 이동 경로, 생활 패턴까지 유추가 가능하기 때문이다.

우리 개인정보보호법이나 유럽연합(EU)의 개인정보보호법(GDPR)에서도 '식별 가능성 있는 정보'는 개인정보로 간주한다는 기준이 있다.

실제 지난해 개인정보위는 카카오톡 오픈채팅방에서 회원일련번호와 임시 ID를 적절히 보호하지 않은 점을 문제 삼아, 카카오에 과징금 151억원을 부과했다.

당시 카카오는 "이 정보들은 이름이나 연락처처럼 직접적인 개인정보가 아니다"라며 반발했지만, 위원회는 해당 번호들이 내부 시스템상 이용자 식별에 사용되고, 다른 정보와 결합 시 개인 식별이 가능하다는 점에서 개인정보로 판단했다.

IMSI와 같은 정보가 개인정보로 인정된 판례도 있다.

2011년 서울중앙지방법원은 단말고유식별번호(IMEI)에 대해 "단독으로는 식별이 어렵지만, 다른 정보와 결합되면 개인을 특정할 수 있어 개인정보에 해당한다"고 판시했다.

다만, 이러한 과거 판례가 지금까지 그대로 적용되긴 어렵다는 것이 최근의 해석이다. 이유는 바로 2020년 개정된 개인정보보호법 때문이다.

예전에는 어떤 정보가 개인을 식별할 수 있는지, 또는 다른 정보와 결합이 가능한지 따져보고 개인정보인지 판단했다면 지금은 유출된 정보에 결합되는 다른 정보를 어떻게, 얼마나 손쉽게 확보할 수 있느냐 즉 '입수 가능성'까지 함께 보고 판단해야 한다.

입수 가능성은 ▲정보를 얻는 데 필요한 시간 ▲노력(비용) ▲기술 수준 등을 모두 따져 종합적으로 판단하게 돼 있다. 쉽게 말해 누가, 얼마나 쉽게 해당 정보를 확보하고 결합할 수 있느냐가 법적 판단에 영향을 주는 것이다.

염흥열 순천향대 명예교수는 "과거에는 이름이나 주민번호처럼 단독으로 식별이 가능한 정보와 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 정보만을 개인정보로 봤지만, 지금은 '입수가 얼마나 쉬운가' 등의 시간, 비용, 기술 요소까지 종합적으로 평가하는 방향으로 가고 있다"고 설명했다.

개인정보위는 이번 건에서 IMSI 단독 정보만을 볼 것이 아니라, 다른 정보들과 결합된 전체 구조를 기준으로 개인정보 여부를 판단해야 한다는 입장이다.

개인정보위 관계자는 "IMSI 자체도 원래 가입자 식별을 위한 고유 번호이기 때문에, 그 자체로 개인정보성을 갖고 있다"면서 "특히 이번처럼 전화번호를 포함한 25종의 정보가 함께 유출된 상황에서는, 개별 항목을 따로 떼어 '이건 개인정보고, 저건 아니다'라고 판단하는 건 아니다"고 설명했다. 이어 "결국 전체 정보가 묶여서 유출됐고, 그 조합 자체가 명백한 개인정보로 기능하는 구조이기 때문에, 이를 종합적으로 봐야 한다"고 말했다.

◎공감언론 뉴시스 [email protected]

맨위로

이메일 보내기

이메일 보내기
* 받는 사람
메세지

이메일 보내기
* 보내는 사람
보내는 내용	[SKT 해킹사고 한달③] 가입자식별번호(IMSI), 주민번호와 같은 개인정보? [서울=뉴시스]송혜리 기자 = [[[[:newsis_bold_start:]]]]"이번 사건은 명백한 개인정보 유출사고에 해당합니다."[[[[:newsis_bold_end:]]]] 고학수 개인정보보호위원장은 지난 21일 정례 브리핑에서 이같이 밝히며 역대급 제재를 예고했다. 개인정보보호위원회는 지난달 22일 SK텔레콤으로부터 신고가 접수되자마자 즉시 조사에 착수했고 전담 태스크포스(TF)를 꾸려 본격적인 법적 검토에 들어갔다. 정부 민관합동조사단 조사 결과, 이제까지 SK텔레콤에서 유출이 확인된 데이터는 가입자 전화번호와 가입자식별키(IMSI) 등 유심 정보 4종과 SK텔레콤 내부 관리용 데이터 21종 등 총 25종이다. 유출된 데이터 규모는 9.82GB, IMSI 기준으로 약 2695만건이다. 주로 유심 관련 정보들이다. [[[[:newsis_bold_start:]]]]◆다른 정보와 결합해 개인 특정할 가능성 있어…결합이 현실적으로 얼마나 쉬운지는 따져야[[[[:newsis_bold_end:]]]] 이 때문에 정부 제재 수위에 영향을 미칠 핵심 쟁점 중 하나로'가입자식별키(IMSI)'같은 유심 정보를 개인정보로 볼 수 있는지 여부를 꼽는 시각이 많다. 그동안 법적으로 개인정보는 이름이나 주민등록번호, 연락처, 이메일 등 직접적인 인적 정보를 지칭해왔다. 이에 따라 IMSI와 같은 기술적 식별정보를 개인정보로 인정하느냐의 여부는 SK텔레콤 정보유출사고와 비슷한 유사 사례 행정제재와 법적 다툼시 주요한 가이드라인이 될 전망이다. IMSI는 유심에 담긴 가입자 식별번호를 말한다. 어느 국가의 어느 통신사, 어느 가입자인지 식별한다. 국제 로밍이 일반화되면서 통신사들에게 꼭 필요한 정보이지만, 성명, 주민번호 등과 달리 정보 주체가 잘 모르고, 알 필요도 없다. "굳이 IMSI를 개인정보로 볼 필요까지 있느냐"는 주장이 나오는 이유다. ◆개인정보위 "IMSI, 유출된 조합 전체로 봐야" 하지만 반론이 만만치 않다. IMSI가 다른 신상정보와 결합할 경우 민감한 사생활 정보가 될 수 있다는 주장이다. 예컨대 통신사의 가입자 데이터베이스(DB), 위치 정보, 접속 기록 등과 함께 결합하면 이동 경로, 생활 패턴까지 유추가 가능하기 때문이다. 우리 개인정보보호법이나 유럽연합(EU)의 개인정보보호법(GDPR)에서도 '식별 가능성 있는 정보'는 개인정보로 간주한다는 기준이 있다. 실제 지난해 개인정보위는 카카오톡 오픈채팅방에서 회원일련번호와 임시 ID를 적절히 보호하지 않은 점을 문제 삼아, 카카오에 과징금 151억원을 부과했다. 당시 카카오는 "이 정보들은 이름이나 연락처처럼 직접적인 개인정보가 아니다"라며 반발했지만, 위원회는 해당 번호들이 내부 시스템상 이용자 식별에 사용되고, 다른 정보와 결합 시 개인 식별이 가능하다는 점에서 개인정보로 판단했다. IMSI와 같은 정보가 개인정보로 인정된 판례도 있다. 2011년 서울중앙지방법원은 단말고유식별번호(IMEI)에 대해 "단독으로는 식별이 어렵지만, 다른 정보와 결합되면 개인을 특정할 수 있어 개인정보에 해당한다"고 판시했다. 다만, 이러한 과거 판례가 지금까지 그대로 적용되긴 어렵다는 것이 최근의 해석이다. 이유는 바로 2020년 개정된 개인정보보호법 때문이다. 예전에는 어떤 정보가 개인을 식별할 수 있는지, 또는 다른 정보와 결합이 가능한지 따져보고 개인정보인지 판단했다면 지금은 유출된 정보에 결합되는 다른 정보를 어떻게, 얼마나 손쉽게 확보할 수 있느냐 즉 '입수 가능성'까지 함께 보고 판단해야 한다. 입수 가능성은 ▲정보를 얻는 데 필요한 시간 ▲노력(비용) ▲기술 수준 등을 모두 따져 종합적으로 판단하게 돼 있다. 쉽게 말해 누가, 얼마나 쉽게 해당 정보를 확보하고 결합할 수 있느냐가 법적 판단에 영향을 주는 것이다. 염흥열 순천향대 명예교수는 "과거에는 이름이나 주민번호처럼 단독으로 식별이 가능한 정보와 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 정보만을 개인정보로 봤지만, 지금은 '입수가 얼마나 쉬운가' 등의 시간, 비용, 기술 요소까지 종합적으로 평가하는 방향으로 가고 있다"고 설명했다. 개인정보위는 이번 건에서 IMSI 단독 정보만을 볼 것이 아니라, 다른 정보들과 결합된 전체 구조를 기준으로 개인정보 여부를 판단해야 한다는 입장이다. 개인정보위 관계자는 "IMSI 자체도 원래 가입자 식별을 위한 고유 번호이기 때문에, 그 자체로 개인정보성을 갖고 있다"면서 "특히 이번처럼 전화번호를 포함한 25종의 정보가 함께 유출된 상황에서는, 개별 항목을 따로 떼어 '이건 개인정보고, 저건 아니다'라고 판단하는 건 아니다"고 설명했다. 이어 "결국 전체 정보가 묶여서 유출됐고, 그 조합 자체가 명백한 개인정보로 기능하는 구조이기 때문에, 이를 종합적으로 봐야 한다"고 말했다. ◎공감언론 뉴시스 [email protected] https://weekly.newsis.com