(보도참고) 개인정보위, 'KT', 'LGU+' 대상 조사 착수

다음은 대한민국 정부 부처인 개인정보보호위원회에서 발표한 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 ‘개인정보위’)는 2025년 9월 10일(수)에 (주)케이티(이하 ‘KT’)와 (주)엘지유플러스(이하 ‘LGU+’)를 대상으로 개인정보 유출 의혹에 대한 본격적인 조사에 착수했다고 밝혔습니다. 이번 조사는 KT 이용자를 대상으로 한 무단 소액결제 사건이 다수 발생하고 미국 보안 전문지(Phrack)를 통해 두 통신사에 대한 해킹 정황이 공개된 데 따른 것입니다. 해당 기업들로부터 공식적인 개인정보 유출 신고는 없었으나, 시민단체와 피해자들의 민원 및 침해 신고가 접수됨에 따라 개인정보위는 국민의 개인정보 보호를 위해 신속하게 대응하기로 결정했습니다.

2. 주요 내용

• 개인정보위의 KT 및 LGU+ 대상 조사 착수: 개인정보보호위원회는 2025년 9월 10일 수요일, 국내 주요 통신사업자인 KT와 LGU+에 대한 개인정보 유출 의혹을 규명하기 위해 공식적으로 조사에 돌입했습니다. 이는 최근 불거진 여러 사건과 정황들을 종합적으로 검토한 결과입니다.
• KT 이용자 대상 무단 소액결제 사건 발생: 최근 KT 이용자들 사이에서 본인의 동의 없이 소액결제가 이루어지는 사건이 다수 발생하여 심각한 개인정보 유출 의혹이 제기되었습니다. 이로 인해 많은 이용자가 금전적 피해를 입었으며, 개인정보 유출 가능성에 대한 불안감이 확산되었습니다.
• 미국 보안 전문지(Phrack)의 해킹 정황 공개: 미국의 저명한 보안 전문지인 '프랙(Phrack)'을 통해 KT와 LGU+ 두 통신사에 대한 해킹 정황이 구체적으로 공개된 바 있습니다. 이는 단순한 의혹을 넘어 실제 해킹 시도 또는 성공 가능성을 시사하며, 개인정보 유출의 심각성을 더하는 중요한 단서로 작용했습니다.
• 기업의 개인정보 유출 신고 부재: 개인정보위의 사전 확인 결과, KT와 LGU+ 양사 모두로부터 개인정보 보호법에 따른 공식적인 개인정보 유출 신고는 접수되지 않았습니다. 이는 기업이 자체적으로 유출 사실을 인지하지 못했거나, 인지했더라도 신고 의무를 이행하지 않았을 가능성을 내포하고 있습니다.
• 시민단체 및 피해자 민원 접수: 개인정보위는 해당 기업들로부터의 공식 신고가 없음에도 불구하고, 시민단체로부터의 조사 요청 민원과 무단 소액결제 피해자들의 직접적인 침해 신고를 다수 접수했습니다. 이러한 민원과 신고는 개인정보위가 조사에 착수하는 결정적인 계기가 되었습니다.
• 개인정보위의 사전 사실관계 확인 노력: 개인정보위는 이번 조사 착수 이전에 언론 보도 등을 통해 관련 사실을 인지한 후, 해당 기업에 자료 제출을 요구하고 관계자 면담을 진행하는 등 사실관계를 확인하기 위한 사전 작업을 진행했습니다. 또한, 유관기관들과 정보를 공유하며 사안의 심각성을 파악해왔습니다.
• 개인정보 보호법에 근거한 조사 권한: 이번 조사는 '개인정보 보호법' 제63조(자료제출 요구 및 검사) 제1항에 명시된 위원회의 권한에 따라 이루어집니다. 이 조항은 위원회가 법 위반 신고를 받거나 민원이 접수된 경우, 또는 정보주체의 개인정보 보호를 위해 필요하다고 판단될 경우 조사를 진행할 수 있도록 명시하고 있습니다.

3. 배경 및 목적

이번 개인정보위의 KT 및 LGU+ 대상 조사는 최근 국내 통신 서비스 이용자들의 개인정보 보호에 대한 우려가 급증하고 있는 상황에서 비롯되었습니다. 특히, KT 이용자들을 대상으로 한 무단 소액결제 사건이 연이어 발생하면서, 이용자들은 자신의 개인정보가 유출되어 악용되고 있을 가능성에 대해 심각한 불안감을 느끼고 있습니다. 이러한 금전적 피해는 단순히 개인의 재산 손실을 넘어, 통신 서비스 전반에 대한 신뢰도를 저하시키는 요인으로 작용하고 있습니다.

또한, 국제적인 보안 전문지인 '프랙(Phrack)'을 통해 KT와 LGU+에 대한 해킹 정황이 공개된 것은 국내 주요 통신 인프라의 보안 취약성 문제를 수면 위로 드러냈습니다. 이는 단순한 개인정보 유출 의혹을 넘어 국가 안보와 직결될 수 있는 사이버 보안 문제로 확대될 가능성까지 제기하고 있습니다. 이러한 상황에서 해당 기업들이 개인정보 유출 사실을 공식적으로 신고하지 않았다는 점은 개인정보 보호 책임 이행에 대한 의문을 증폭시켰습니다. 이에 개인정보위는 시민단체와 피해자들의 적극적인 조사 요청 및 침해 신고를 바탕으로, 국민의 개인정보를 보호하고 통신사의 개인정보 보호 의무 이행 여부를 철저히 확인하기 위한 목적으로 이번 조사를 착수하게 되었습니다. 궁극적인 목적은 사건의 구체적인 경위를 명확히 밝히고, 실제 개인정보 유출 여부 및 규모를 파악하여, 책임 소재를 규명하고 재발 방지 대책을 마련하는 데 있습니다.

4. 세부 추진 내용

개인정보위는 이번 조사를 통해 KT와 LGU+에서 발생한 개인정보 유출 의혹과 관련된 구체적인 사건 경위 및 개인정보 유출 여부를 집중적으로 확인할 예정입니다. 이를 위해 개인정보위 조사2과를 중심으로 전문 인력이 투입되어 다각적인 방식으로 조사를 진행합니다. 우선, 해당 기업들에 대한 자료 제출 요구를 통해 관련 시스템 로그 기록, 보안 감사 보고서, 개인정보 처리 현황 등 광범위한 내부 자료를 확보할 것입니다. 이와 함께, 기업 관계자 및 책임자를 대상으로 심층 면담을 실시하여 사건 발생 경위, 인지 시점, 대응 조치 등에 대한 상세한 진술을 확보할 계획입니다.

또한, 필요하다고 판단될 경우 현장 조사를 통해 실제 개인정보 처리 시스템 및 보안 시스템의 운영 실태를 직접 점검하고, 디지털 포렌식 기법을 활용하여 해킹 흔적이나 유출된 개인정보의 종류와 규모를 정밀하게 분석할 것입니다. 개인정보위는 이 과정에서 한국인터넷진흥원(KISA) 등 유관기관과의 긴밀한 정보 공유 및 기술 협력을 통해 조사의 전문성과 객관성을 확보할 것입니다. 조사 과정에서 개인정보 보호법 위반 사실이 확인될 경우, 관련 법규에 따라 엄정한 행정처분 및 필요한 경우 수사 의뢰 등의 조치를 취할 예정입니다.

5. 기대 효과

이번 개인정보위의 조사를 통해 여러 가지 긍정적인 기대 효과를 예상할 수 있습니다. 첫째, 무단 소액결제 피해를 입은 KT 이용자들과 해킹 의혹에 노출된 LGU+ 이용자들의 불안감을 해소하고, 사건의 진상을 명확히 밝힘으로써 피해자들의 권리 구제 및 추가 피해 방지에 기여할 것입니다. 둘째, 국내 주요 통신사업자들의 개인정보 보호 및 관리 실태를 점검하고 미흡한 부분을 개선하도록 유도하여, 전반적인 통신 서비스 분야의 개인정보 보안 수준을 향상시키는 계기가 될 것입니다. 셋째, 개인정보위가 국민의 개인정보 보호를 위한 강력한 의지를 보여줌으로써, 기업들에게 개인정보 보호의 중요성을 다시 한번 각인시키고 법규 준수 의식을 고취하는 효과를 가져올 것입니다. 궁극적으로는 국민들이 안심하고 통신 서비스를 이용할 수 있는 환경을 조성하고, 대한민국 사회 전반의 개인정보 보호 역량을 강화하는 데 크게 기여할 것으로 기대됩니다.

6. 향후 계획

개인정보위는 이번 조사를 신속하고 철저하게 진행하여 사건의 전모를 밝히는 데 주력할 것입니다. 조사 결과에 따라 개인정보 보호법 위반 사실이 확인될 경우, 관련 법규에 의거하여 과징금 부과, 시정 명령, 책임자 징계 권고 등 필요한 행정처분을 엄정하게 내릴 예정입니다. 또한, 위법 행위의 정도가 중대하거나 고의성이 있다고 판단될 경우에는 수사기관에 고발 또는 수사 의뢰하여 형사 처벌로 이어지도록 할 것입니다. 이와 더불어, 이번 사건을 계기로 통신 분야를 포함한 주요 정보통신서비스 제공자들의 개인정보 보호 실태를 전반적으로 점검하고, 유사 사례 재발 방지를 위한 제도 개선 방안을 마련할 계획입니다. 개인정보위는 앞으로도 국민의 소중한 개인정보가 안전하게 보호될 수 있도록 지속적으로 감시하고 필요한 조치를 강구해 나갈 것입니다.