세계일보

개인정보보호위원회가 해킹으로 대규모 개인정보 유출 사고를 빚은 SK텔레콤에 ‘역대 최대 과징금 부과’란 철퇴를 내렸다. 개인정보위는 “SKT의 기본적인 보안 조치 미비와 관리 소홀로 전체 이용자 2324만여명의 유심(USIM) 등 디지털 개인정보가 유출됐다”고 결론 내렸다. 특히 SKT는 2022년 해커가 서버에 접속한 사실을 확인하고도 3년 넘게 악성 프로그램 설치 여부 등을 점검하지 않은 것으로 드러났다.

개인정보위는 27일 제18회 전체 회의에서 SKT가 국내 1위 이동통신 사업자로서 안전 조치 의무를 소홀히 해 개인정보가 유출된 행위에 과징금 1347억 9100만원, 정보 주체에 대한 유출 통지를 지연해 신속한 피해 확산 방지를 소홀히 한 행위에 과태료 960만원 부과를 의결했다고 28일 밝혔다. 개인정보위가 올해 4월22일 SKT의 유출 신고를 받고 조사에 착수한 지 4개월 만이다.

개인정보위가 부과한 역대 최대 과징금은 2022년 구글과 메타에 내려진 1000억원이었다. 당시 구글과 메타는 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반, 각 692억원, 308억원의 과징금을 부과받았다.

개인정보위는 또 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 파악해 안전조치를 강화하고, 개인정보 보호 책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있게 거버넌스 체계를 정비할 것을 시정 명령했다.

개인정보위가 한국인터넷진흥원과 태스크포스(TF)를 꾸려 조사한 결과, SKT 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 알뜰폰을 포함한 LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화 번호, 가입자식별번호(IMSI), 유심 복제에 사용될 수 있는 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 휴대전화 번호와 IMSI 기준 유출 규모인 약 2696만건 중 법인·공공 회선, 다회선, 기타 회선 등을 제외한 실질적인 이용자다.

또 해커가 2021년 8월 SKT 내부망을 처음 뚫고 다수 서버에 악성 프로그램을 설치, 이듬해 6월엔 ICAS(통합고객인증시스템)에 악성 프로그램을 설치한 것으로 조사됐다. 해커는 올해 4월18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 빼돌렸다.

개인정보위는 “SKT는 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부나 추가적인 악성 프로그램 설치 여부, 접근 통제 정책의 적절성 등을 점검하지 않아 이번 사고를 사전에 방지할 기회를 놓쳤다”며 “서버 약 2365개의 계정 정보(ID 및 비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있게 운영했다”고 밝혔다. 아울러 SKT는 유심 인증키 2614만4363건을 암호화하지 않고 평문으로 HSS DB 등에 저장했다.

개인정보위는 “2024년 12월~2025년 4월 SKT 이용자 개인정보가 외부로 유출된 정황은 없는 것으로 확인됐다”면서도 “2022년 6월∼2024년 12월 유출 여부는 확인할 수 없었다”고 덧붙였다.

개인정보위는 이번 사건을 계기로 대규모 개인정보 처리자에 대한 관리·감독을 더 강화하고, 개인정보 안전 관리 체계 강화 방안을 마련해 다음 달 초 발표할 예정이다. 고학수 개인정보위 위원장은 “대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 필수적인 투자로 인식하길 바란다”며 “나아가 데이터 경제 시대 CPO와 전담 조직이 기업 경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]