(MHN 김예슬 인턴기자) SK텔레콤(이하 SKT)이 사상 최악의 해킹 사고로 전체 이용자 2,300만여 명의 개인정보를 유출당한 사실로 인해 개인정보보호위원회로부터 역대 최대 과징금 제재를 받았다. 

개인정보위는 지난 27일 전체회의에서 개인정보보호법을 위반한 SKT에 과징금 1,347억9,100만원과 과태료 960만원을 부과했다고 28일 밝혔다. 이는 개인정보위 출범(2020년) 이후 최대 규모다. 

위원회는 SKT LTE-5G 이동통신 서비스 매출액을 기준으로 과징금을 산정했으며, 안전조치 의무 위반이 대규모 유출의 직접적 원인이 됐다고 판단했다. 고학수 개인정보위원장은 “유심 인증키 등 핵심정보까지 유출된 매우 중대한 위반행위”라고 강조했다. 

2,324만명-25종 개인정보 유출

조사 결과, 해커는 지난 2021년 8월 SKT 내부망에 침투한 뒤 2022년 6월 통합고객인증시스템(ICAS)에 악성 프로그램을 설치하며 장기간 거점을 확보했다. 이후 올해 4월 홈가입자서버(HSS)에 저장된 개인정보 9.82GB를 외부로 유출했다.

유출 규모는 중복 제거 후 총 2,324만4,649명에 달한다. 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 개인정보가 포함됐다. 특히 유심 인증키는 유심 복제 등에 악용될 수 있는 민감한 정보다.

“기본 보안조치 소홀”…기회 놓친 SKT 

개인정보위는 SKT가 해킹 침입 사실을 일부 인지하고도 적절히 대응하지 못했다고 지적했다.

SKT는 인터넷-사내망-코어망을 동일 네트워크로 운영하며 외부 접근을 사실상 무제한 허용했고, 서버 이상 로그를 확인하지 않아 불법 유출 시도를 방치했다. 지난 2022년 2월 HSS 서버 비정상 접속을 확인하고도 악성 프로그램 점검이나 통제 정책 강화 같은 조치를 하지 않았다. 

또한 SKT는 운영체제 보안 취약점(DirtyCow)을 이미 패치가 공개된 상태임에도 방치했고, 상용 백신 프로그램도 설치하지 않았다. 유심 인증키 2,061만 건은 암호화조차 하지 않고 평문으로 저장됐다.

CPO(개인정보보호책임자) 역시 인프라 영역을 관리하지 못하는 구조적 한계가 드러났으며, 법이 정한 72시간 내 유출 사실 통보 의무도 지키지 않았다. 실제 피해 사실을 이용자에게 확정 통보한 것은 유출 발생 석 달 뒤였다.

개인정보위 “재발 방지책 마련”…SKT, 소송 검토 가능성

개인정보위는 SKT에 전사적 개인정보 관리 체계 정비와 안전조치 강화를 명령했다. 또한 유사 사고 방지를 위해 대규모 개인정보 처리자 전반에 대한 감독을 강화하고, 9월 초 ‘개인정보 안전관리 종합대책’을 발표할 계획이다.

SKT는 “무거운 책임을 통감하며 고객정보 보호를 핵심 가치로 삼겠다”는 입장을 밝혔다. 그러나 업계 일각에서는 SKT가 행정소송에 나설 가능성도 제기된다.

고학수 위원장은 “이번 사건은 국민 절반의 정보를 다루는 1위 통신사의 총체적 보안 부실로 인한 사고”라며 “위원회가 투입할 수 있는 최대 역량을 동원해 조사했다”고 말했다. 

사진=연합뉴스