개인정보위 "'매우 중대한 위반'에 해당"
"사고 원인 보안 조치 미비 및 관리 소홀"
SK텔레콤(SKT)이 대규모 유심(USIM) 해킹 사태와 관련해 약 1348억원의 과징금을 부과받았다. 이는 개인정보보호법 위반으로 부과된 과징금 중 역대 최대 규모다.
개인정보보호위원회는 28일 SKT의 대규모 개인정보 유출 사고와 관련해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억9100만원, 과태료 960만원을 부과했다고 밝혔다. 이는 2022년 구글(692억 원)과 메타(308억 원)에 부과된 1000억원을 넘어선 것이다.
개인정보위는 지난 4월 22일 SKT의 개인정보 유출 신고를 접수해 조사에 착수했다. 조사 결과, LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 사실이 확인됐다. 유출 규모는 총 2696만 건에 달했다.
해커는 2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 심었고 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 확보했다. 이후 올 4월 18일 홈가입자서버(HSS) DB에 저장된 9.82GB 규모의 개인정보를 외부로 유출했다.
개인정보위는 SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 이번 사고가 발생했다고 판단했다. 특히 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내·외 인터넷망에서 내부 관리망 서버로의 접근을 제한 없이 허용했다는 점을 문제 삼았다.
SKT가 침입탐지 시스템의 이상 행위 로그를 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다고도 지적했다. SKT는 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도 비정상 통신, 추가 악성프로그램 설치 여부 등을 점검하지 않은 것으로 확인됐다. 또 계정정보가 저장된 파일을 관리망 서버에 제한 없이 저장·관리하고 HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다.
조사 결과 보안 업데이트 조치를 하지 않은 점도 확인됐다. 2016년 10월 BPF도어 보안 경보 발령 후 보안 패치가 공개됐음에도 SKT는 유출 당시까지도 보안 업데이트를 하지 않았다. 유심 인증키 2614만건을 암호화하지 않고 평문으로 저장한 점도 지적됐다.
과태료의 경우 개인정보위는 SKT가 유출 사실을 인지한 뒤에도 피해자 통지를 지연한 점을 문제 삼았다. SKT는 4월 19일경 유출 사실을 파악했지만 법에서 정한 72시간 내 통지를 하지 않았다. 개인정보위가 5월 2일 긴급 의결로 즉시 통지를 요구했으나 SKT는 일주일이 지난 5월 9일에야 '유출 가능성'을 알리는 수준의 안내를 했고 7월 28일이 돼서야 '유출 확정' 사실을 통보했다. 개인정보위는 이에 따라 사회적 혼란이 길어졌다고 봤다.
개인정보위는 이번 사태가 과징금 산정 판단 기준 중 최고 수준인 '매우 중대한 위반'에 해당한다고 판단했다. 고학수 개인정보위 위원장은 브리핑에서 "유출된 정보의 성격, 2300만명의 정보 유출, 회사가 지난 몇 년간 취약 상태에 노출돼 있던 점 등이 고시의 여러 가지 항목을 위반한 것을 고려해 매우 중대함으로 결론 내렸다"라고 설명했다.
이어 "회사가 전반적으로 취약한 부분이 있었고 이를 장기간에 걸쳐 인지하고 조치할 기회가 있었음에도 놓쳤다"라며 "대한민국 국민 절반이 가입자로 이용하는 상황에서 유심이 매우 중대한 정보임에도 회사가 이를 제대로 관리하지 못했다는 문제의식이 대부분 위원에게 있었다"라고 덧붙였다.
개인정보위는 재발 방지 차원에서 △이동통신 서비스 전반의 개인정보 처리 현황 점검 △개인정보 보호 책임자(CPO) 권한 강화 △개인정보보호관리체계(ISMS-P) 인증 범위 통신 이동통신 네트워크 시스템으로 확대 등을 명령·권고했다.
또 유사 사례 방지를 위해 대규모 개인정보 처리자에 대한 관리·감독을 강화하고 보안 투자 확대를 유도하기 위한 개선책을 담은 '개인정보 안전관리체계 강화 종합대책'을 9월 초 발표할 계획이다.
고 위원장은 "이번 사건이 기업에 개인정보보호 투자가 필수적 투자임을 인식시키는 계기가 돼야 한다"라고 밝혔다.
SKT는 높은 과징금에 당혹스러워하고 있다. 회사 내부에서는 법적 대응이 불가피하다는 기류가 강하지만 당국 결정에 정면으로 맞서는 모습 또한 부담스러워 고심하는 분위기다.
여성경제신문 김민 기자 kbgi001@seoulmedia.co.kr
관련기사
- 예스24 2차 해킹에 술렁···규모 클수록 피해 '도미노', 보안 규제는 느슨
- '유심 해킹' 실적에도 피해···SKT 2분기 영업이익 37% 급감
- SKT 에이닷 사용자 숨은 의도 이해하는 AI로 진화···4.0 버전 업데이트
- SKT, 양자암호 AI폰 ‘갤럭시퀀텀6’ 출시···출고가는 얼마?
- 이재명 정부 韓 소버린 AI 프로젝트 밀어붙이지만···글로벌 AI 공룡 셋방살이 면할까?
- "GPT인 줄 알았지?"···한국형 시뮬라크르 K-AI '가면무도회'
- SKT '13만명 탈출' 잡아라···단통법 시행 막바지 이통3사 쟁탈 전략은
- 구글·애플 30% '통행세'에 뿔난 게임사들···韓도 '수수료 전쟁' 가세
- 1조원 보안 투자 무색한 KT···‘유령 기지국’ 공포, 통신사 전반 확산
- 통신사 정보 유출 잇달아도 보험은 '미비'···진단 시 배상 '첫걸음' 된다
- 2025 국감 이슈 SKT 해킹, 과기정통부 '편들기' 의혹 털어낼까
- 미래에셋 '최고' 메리츠 '최저'···정보보호 예산 양극화
- SKT 유출 '1인당 30만원'···선언은 쉬웠으나 구제는 '개인 몫'