개인정보보호위원회가 SK텔레콤(76,200원 ▼1,700 -2.18%)의 개인정보 유출사고와 관련해 1000억대 과징금을 부과했다. 개인정보법 개정 이후 역대 최대 규모다. 이번 해킹에서 털린 유심정보를 '개인정보'로 보고, SKT가 개인정보 보호 의무와 피해 확산 방지 의무 모두 소홀했다고 판단한 결과다.
28일 개인정보보호위원회(이하 개보위)는 전날 제18회 전체회의를 열고, SK텔레콤(이하 SKT)에 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다.
과징금 1347억여원은 개인정보 유출 행위로 인한 것이고, 과태료 960만원은 SKT가 개인정보 유출 통지를 지연해 피해를 확산한데 대한 조치다. 이외 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치도 의결했다.
개보위가 SKT에 부과한 과징금은 역대 최대 규모다. 개보위는 앞서 2022년 9월 구글과 메타에 각각 692억원, 308억원을 부과했고, 2024년 카카오에 151억원을 부과했다. 이중 구글과 메타는 무단 개인정보 수집에 대한 건으로, 개인정보유출로 인한 종전 최대 과징금은 카카오(151억원)였다.
다만 최악의 시나리오는 면한 것으로 보인다. 현행 개인정보법은 위반 행위 직전 사업연도 전체 매출 평균의 3%까지 과징금을 부과할 수 있도록 했다. 2022~2024년 기간 별도 기준 SKT의 연 평균 매출이 12조5926억원임을 감안할 때 최대 3780억원의 과징금이 부과될 것이라는 우려가 있었다.
개보위는 SKT 유심정보 해킹 사태와 관련해 TF(태스크포스)를 꾸려 3개월간 집중조사한 결과, LTE·5G 서비스 전체 이용자(알뜰폰 포함) 2324만4649명(유출 건수 2696만건)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종 정보가 유출됐고, 사고 원인은 SKT의 보안 조치 미비·관리 소홀이라고 결론내렸다.
개보위는 SKT가 △접근통제조치 △접근권한 관리 △보안 업데이트 △유심 인증키 암호 저장 등의 안전조치 의무를 지키지 않았다고 봤다. △개인정보 보호책임자(CPO) 지정 소홀 △개인정보 유출통지 지연도 문제라고 적시했다.
독자들의 PICK!
개보위는 구체적으로 SKT가 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 내부 관리망 서버 접근을 제한없이 허용하는 등 기본 접근통제조치도 시행하지 않았다고 판단했다.
또 서버 약 2365개의 계정정보가 저장된 파일을 암호로 설정하지 않은 채 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영해 접근권한 관리도 소홀했다고 봤다.
보안 업데이트도 하지 않았다. 이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 OS(운영체제)의 보안 취약점(더티카우)은 이미 2016년 10월 보안경보가 발령돼 이듬해 보안패치가 공개된 사항이었다. 심지어 백신 프로그램도 2020년부터 이 같은 취약점 실행을 탐지했지만 별다른 조치를 하지 않았다.
유심 인증키 2614만4363건에 대해 암호화 없이 평문으로 서버에 저장, 해커가 유심 인증키를 원본 그대로 확보하게끔 했고, CPO(개인정보보호책임자)의 역할을 T월드 등 웹·앱 서비스에 국한해 인프라 영역에서의 개인정보 유출은 대비하지 못하는 등 관리감독에 소홀했다고 지적했다.
아울러 지난 4월19일 개인정보 유출 사실을 인지하고도 법령에서 정한 72시간 내 유출 사실을 통지하지 않았다. 개보위가 5월2일 이용자에 개인정보 유출통지를 진행하라고 의결했지만 SKT는 일주일이 지난 5월9일에야 '유출 가능성'을 공지했고, '유출 확정' 통지는 7월28일에야 이뤄졌다. 이에 사회적 혼란을 초래했다는 것이 개보위 판단이다.
이번 처분을 내리기까지 개보위는 위원들과 총 네 차례의 사전 검토회의를 거쳤고, 전날 전체회의에선 사업자가 출석해 의견 개진 등을 하도록 했다. 개보위는 이번 처분이 사회 전반에 개인정보보호의 중요성을 환기시킨 계기가 될 것이라고 기대했다.
고학수 개인정보위 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"며 "나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다"고 말했다.
