개인정보보호위원회가 지난 4월 발생한 대규모 개인정보 유출 사고와 관련해 SK텔레콤에 과징금 1347억9100만 원과 과태료 960만 원을 부과했다. 개인정보위 출범 이후 단일 사업자에 부과된 과징금 중 역대 최대 규모다.

 유심교체를 진행했던 SK텔레콤 직영매장/사진=경제엔미디어

개인정보위는 27일 제18회 전체회의에서 SK텔레콤이 개인정보보호법상 안전조치 의무 및 유출 통지 의무를 위반했다고 판단하고 이 같은 제재를 의결했다고 28일 밝혔다.

2300만 명 정보 유출…4년간 침투 끝에 발생

조사에 따르면 해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 심었고, 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 악성 프로그램을 설치했다. 이어 올해 4월 18일 홈가입자서버(HSS) 데이터베이스에 저장된 개인정보 약 9.82GB를 외부로 빼냈다.

이 과정에서 LTE·5G 이용자 2324만4649명(알뜰폰 포함, 중복제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심(USIM) 인증키 등 25종의 개인정보가 유출된 것으로 확인됐다. 특히 유심 인증키는 복제 등에 악용될 수 있는 핵심 정보여서 사회적 우려가 컸다.

기본 보안 의무 방기 지적

개인정보위는 이번 사고가 SK텔레콤의 관리 소홀과 보안 체계 부실에서 비롯됐다고 판단했다. △인터넷망과 내부 관리망 서버 간 접근 통제 미흡 △다수 서버 계정정보(ID·PW) 평문 저장 △운영체제 보안 취약점 방치 및 업데이트 미실시 △유심 인증키를 암호화하지 않고 평문 저장 등이 대표적이다.

또 SK텔레콤은 지난해 해커가 HSS 서버에 접속한 사실을 인지했음에도 적절한 점검과 차단 조치를 하지 않아 사고를 막을 기회를 놓쳤다고 개인정보위는 밝혔다.

이용자 통지 지연도 문제

SK텔레콤은 지난 4월 19일 유출 정황을 인지했지만, 법령이 정한 72시간 내 이용자에게 통지하지 않았다. 개인정보위가 5월 2일 긴급 의결을 통해 즉각 통지를 명령했으나, 회사는 5월 9일에서야 “유출 가능성”을 알렸고, 7월 28일이 돼서야 “유출 확정” 사실을 공지했다. 개인정보위는 이를 “피해 최소화를 위한 최소한의 의무조차 지키지 않은 것”으로 판단했다.

재발 방지 시정조치 병행

개인정보위는 SK텔레콤에 △개인정보 보호책임자(CPO)의 실질적 역할 강화 △전사적 개인정보 거버넌스 체계 정비 △ISMS-P 인증 범위를 통신 네트워크 전반으로 확대할 것 등을 명령했다. 또 3개월 내 재발 방지 대책을 수립·보고하도록 했다.

고학수 위원장은 “국민 절반에 해당하는 개인정보를 보유한 1위 이동통신사업자가 장기간 허술한 보안 상태를 유지해 온 점을 심각하게 받아들였다”며, “이번 사건이 기업들로 하여금 개인정보 보호 투자를 비용이 아닌 필수적 투자로 인식하는 계기가 되길 바란다”고 강조했다.

SK텔레콤 “유감…향후 입장 검토”

SK텔레콤은 “모든 경영 활동에서 개인정보 보호를 핵심 가치로 삼고 고객 정보 보호 강화를 위해 최선을 다하겠다”면서도 “조사 및 의결 과정에서 당사의 조치와 입장이 충분히 반영되지 않아 유감”이라며 향후 의결서 수령 후 입장을 검토하겠다고 밝혔다.

한편 개인정보위는 다음 달 초 대규모 개인정보 처리자 관리·감독 강화를 위한 ‘개인정보 안전관리체계 강화 종합대책’을 발표할 예정이다.

[경제엔미디어=장민철 기자]