(사진=연합뉴스)
해킹 사고로 이용자 약 2300만명의 개인 정보가 유출된 SK텔레콤(SKT)에 대해 개인정보보호위원회(위원장 고학수)가 역대 최대 과징금인 1348억원을 부과했다.
28일 개인정보위는 지난 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 밝혔다. 과징금 규모는 지난 2020년 개인정보위가 출범한 이후 부과한 과징금 처분 중 가장 높은 금액이다.
개인정보위에 따르면, SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.
개인정보위는 “SKT의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 확인됐다”고 밝혔다.
또 SKT는 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었다고 전했다. 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서, 인터넷망(국내·외)에서 SKT 내부 관리망 서버로의 접근을 제한없이 허용했다는 설명이다.
또 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등, 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다고 덧붙였다. SKT는 다수 서버(약 2365개)의 계정정보(ID/비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영한 것으로 조사됐다.
이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 2016년 10월에 이미 보안 경보가 발령됐고, 보안 패치가 공개된 사항이었다. 하지만 SKT는 이를 인지하고 있었음에도 2016년 11월 이러한 보안 취약점을 가진 OS를 설치했으며, 2025년 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.
또 개인정보위는 최소 2020년부터 각종 상용 백신 프로그램은 해당 취약점의 실행을 탐지하고 있었으나, SKT는 이를 설치하지 않았을 뿐만 아니라 백신 미설치를 대체하는 보안 조치마저도 소홀히 하여 결과적으로 이번 유출 사고를 막지 못했다고 설명했다.
특히 SKT는 2022년경 언론에서 유심 복제 등의 이슈가 제기됨에 따라 암호화 조치를 검토하면서, LGU+, KT 등 타 통신사가 유심 인증키(Ki)를 암호화하여 저장하고 있음을 확인하였음에도 이를 조치하지 않았다고 전했다.
더불어 SKT는 2025년 4월 19일 경 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인하여 개인정보 유출 사실을 인지하였음에도, 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않아 이로 인한 사회적 혼란이 가중됐다고 지적했다.
개인정보위는 과징금과 더불어 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령했다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.