(사진=연합뉴스)

이용자 개인 정보가 유출된 유심 해킹 사고로 과징금 1347억9100만원을 부과받은 SK텔레콤이 충분한 소명 과정을 거쳤음에도 결과에 반영되지 않아 유감이라는 입장을 밝혔다.

28일 개인정보위는 지난 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다. 이번 과징금은 지난 2020년 개인정보위가 출범한 이후 부과한 과징금 처분 중 가장 높다.

앞서 SK텔레콤은 지난 4월 발생한 유심 해킹 사고로 이용자 약 2300만명의 개인 정보를 유출된 바 있다. 구체적으로는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 외부로 유출됐다.

개인정보위는 "SK텔레콤의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 확인됐다"고 밝혔다.

개보위는 SK텔레콤이 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었다고 전했다.

특히 2022년 2월 해커가 홈가입자서버(HSS)에 접속한 정황을 포착했음에도 비정상 통신 여부나 추가 악성 프로그램 설치 여부를 점검하지 않았다는 설명이다.

접근권한 관리 역시 허술했다. 관리망 서버에는 2365개 서버의 계정정보 약 4899개가 암호 설정 없이 저장돼 있었고 HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있었다.

특히 이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 2016년 10월에 이미 보안 경보가 발령됐고, 보안 패치가 공개된 사항이었다. 그러나 SKT는 이를 인지하고 있었음에도 2016년 11월 이러한 보안 취약점을 가진 OS를 설치했으며, 2025년 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.

이에 개인정보위는 SK텔레콤의 최근 3년간(2022~2024년) 연결 재무제표 매출 17조원에서 사건과 무관한 매출을 제외, LTE·5G 개인 고객 매출을 과징금 부과 기준 금액으로 삼았다고 설명했다.

SK텔레콤은 이번 부과에 대해 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라는 공식 입장을 밝혔다.

다만 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라며 "향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정할 예정"이라고 말했다. 이에 추후 행정소송도 제기될 수 있다는 분석이 나온다.

한편, 개인정보위 과징금은 의결서를 받은 날로부터 90일 이내에 행정심판이나 행정소송을 제기하지 않으면 처분이 확정된다. 개보위는 이번과 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.

0 0