[아이티데일리] 고객 2,300만 명의 개인정보를 유출한 SK텔레콤(SKT)이 과징금 1,348억 원을 물게 됐다. 이는 개인정보보호법 위반으로 부과된 금액 중 역대 최대 규모다.

개인정보보호위원회(위원장 고학수)는 지난 27일 제18회 전체 회의를 열고 개인정보 보호 법규를 위반한 SKT에 대해 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과하기로 의결했다.

SKT에 부과된 과징금은 역대 최대 규모다. 앞서 개인정보위가 가장 큰 과징금을 부과한 사례는 지난 2022년 이용자 정보를 수집해 맞춤형 광고에 사용해 제재받은 구글과 메타였다. 구글과 메타는 각각 692억 원, 308억 원을 부과받았으며 전체 규모는 총 1,000억 원이었다.

개인정보위는 지난 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출을 신고함에 따라 조사에 착수했다. 사건의 중대성을 고려, 신고 당일 한국인터넷진흥원(KISA)와 함께 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반 여부 등을 조사했다.

조사 결과, SKT의 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 약 2,300만 명의 △휴대전화번호 △가입자 식별번호(IMSI) △유심 인증키(Ki) 등 정보 25종이 유출된 것으로 확인됐다. 개인정보위는 이번 사고가 SKT의 기본적 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 판단했다.

우선 SKT는 인터넷망에서 회사 내부 관리망 서버로의 접근을 제한 없이 허용했다. 허술한 접근통제로 인해 해커는 인터넷과 내부망 사이를 불법적으로 침입할 수 있었다. 특히 SKT는 침입탐지 시스템의 이상행위 로그(Log)도 확인하지 않는 등 데이터 유출 시도에 대한 탐지·대응 조치도 소홀히 했다.

접근권한 관리에도 문제가 발견됐다. SKT는 서버 약 2,365개의 계정 정보(ID·비밀번호) 4,899여 개가 저장된 파일을 관리망 서버에 암호를 설정하지 않은 채 저장·관리했다. 홈 가입자 서버(HSS)는 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다.

아울러 SKT는 가입자 인증과 이동통신 서비스 제공에 사용되는 인증 정보인 유심 인증키 약 2,600만 건을 암호화하지 않고 평문으로 HSS 데이터베이스(DB)에 저장했다. 이에 해커는 유심 복제에 사용할 수 있는 인증키를 원본 그대로 확보할 수 있었다. 타 통신사가 유심 인증키를 암호화해 저장한 것과 대조적이었다.

이 밖에도 SKT는 지난 4월 19일경 HSS DB에 저장된 데이터가 외부로 전송된 사실을 인지했음에도 법령에서 정한 72시간 내에 이용자에게 유출 사실 통지하지 않았다.

개인정보위는 SKT가 국내 1위 이동통신사업자로서 안전조치 의무를 소홀히 해 개인정보가 유출된 행위에 대해 과징금 1,347억 9,100만 원을 부과했다. 또 정보 주체에 대한 유출 통지를 지연해 신속한 피해 확산 방지를 소홀히 한 데에 대해 과태료 960만 원을 부과했다.

개인정보위 고학수 위원장은 “대규모 개인정보를 보유·처리하는 사업자가 관련 예산과 인력의 투입을 비용 지출이 아닌 필수 투자로 인식하길 바란다”며 “데이터 경제 시대에 개인정보보호책임자(CPO)와 전담 조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화해야 할 것”이라고 말했다.