세계일보

개인정보보호위원회가 서버 해킹으로 전체 이용자 2324만여명의 개인정보가 털린 SK텔레콤에 ‘역대 최대 과징금’이란 철퇴를 내렸다. 개인정보위는 모바일 시대에 핵심적인 개인정보가 대규모로 유출된 데다 국내 1위 이동통신사업자인 SKT가 장기간 안전조치를 하지 않아 이를 자초한 점을 감안해 ‘매우 중대한 개인정보 보호법 위반 행위’로 판단했다.

개인정보위는 27일 회의에서 SKT의 이용자 개인정보가 유출된 행위에 과징금 1347억9100만원, 정보 주체에 대한 유출 통지를 지연해 신속한 피해 확산 방지를 소홀히 한 행위에 과태료 960만원 부과를 의결했다고 28일 밝혔다.

개인정보위가 올해 4월22일 조사에 착수한 지 4개월 만이다. 그간 개인정보위의 역대 최대 과징금은 2022년 구글·메타에 대한 1000억원이었다.

고학수 개인정보위 위원장은 이날 브리핑에서 “개인을 식별·인증하고 연결하는 핵심 수단으로 휴대전화가 이용되고 각종 서비스의 본인 확인이 일상화된 상황에서, 가입자식별번호(IMSI)와 유심(USIM) 인증키가 대규모로 유출돼 이동통신 서비스 신뢰도가 저하되고 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다”고 이유를 설명했다. 과징금은 SKT 연결재무제표상 최근 3년간 매출액 약 17조원에서 위반 행위와 관련 없는 매출액을 제하고, SKT가 위반 행위를 시정하고 피해 회복을 위해 노력한 점 등도 고려해 산정했다.

개인정보위 조사 결과, SKT의 LTE·5G 이동통신 서비스 전체 이용자인 2324만4649명의 휴대전화 번호, 가입자식별번호, 유심 인증키 등 25가지 개인정보가 유출된 것으로 확인됐다. 휴대전화 번호와 가입자식별번호 기준 유출 규모인 2695만7749건 중 법인·공공 회선, 다회선 등을 뺀 실질적 이용자다. 가입자식별번호와 유심 인증키는 SKT가 이용자 단말에 부여하는 고유의 값인데, 유심 인증키는 유심 복제에 쓰일 수 있다.

개인정보위는 특히 “SKT가 이번 사고를 사전에 방지할 기회를 놓쳤다”고 질타했다. 해커가 2021년 8월 인터넷과 연결된 SKT 관리망 서버에 처음 침투했고 SKT는 이듬해 2월 이 사실을 확인하고도 비정상 통신이나 악성 프로그램 설치 여부 등을 점검하지 않았다는 것이다.

SKT는 또 서버 계정 정보인 아이디와 비밀번호 파일을 암호 설정도 없이 관리망 서버에 관리하는 등 안전조치 의무를 다하지 않았다.

SKT가 개인정보위 처분에 불복해 행정소송에 나설 가능성이 제기된다.

SKT 관계자는 “조사와 의결 과정에서 당사의 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 “의결서를 수령한 뒤 내용을 면밀히 검토해 입장을 정할 예정”이라고 말했다. 이 관계자는 “고객 정보 보호 강화를 위해 만전을 기할 것”이라고 강조했다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]