2300만명 정보 유출…SK텔레콤, 1300억원 과징금 '역대 최대'

개인정보위, 보안 관리 소홀·유심 인증키 평문 저장 등 지적…2324만명 정보 유출

SKT, 개인정보보호위원회 의결서 수령 후 내용 면밀히 검토…추후 입장 정할 예정

[SRT(에스알 타임스) 문재호 기자] 개인정보보호위원회(이하 개인정보위)는 SK텔레콤(이하 SKT)에 대규모 개인정보 유출 사건과 관련 역대 최대 과징금 1,348억원을 부과했다.

개인정보위는 지난 27일 열린 제18차 전체회의에서 SKT가 개인정보 보호법을 위반했다고 판단, 과징금 1,347억9,100만원과 과태료 960만원을 부과하기로 의결했다고 28일 밝혔다. 아울러 재발 방지를 위해 전사적 개인정보 거버넌스 체계 정비, 보안 시스템 전반 점검 및 안전조치 강화 등 시정 조치를 명령했다.

조사 결과 이번 유출 사고는 SKT의 기본적인 보안 관리 미흡과 운영 부실에서 비롯된 것으로 드러났다. 구체적인 위반 사항으로는 ▲접근 통제 및 권한 관리 소홀 ▲보안 업데이트 미실시 ▲유심 인증키 평문 저장 ▲개인정보 보호책임자(CPO) 지정·업무 소홀 ▲개인정보 유출 통지 지연 등이 지적됐다.

이에 따라 개인정보위는 국내 최대 이동통신사업자인 SKT가 보안 의무를 다하지 않아 유심정보를 포함한 고객 개인정보가 대량 유출된 점을 중대하게 보고, 과징금 1,347억9,100만원을 부과했다. 또 피해 통지 지연에 대해서는 과태료 960만원을 별도로 부과했다.

고학수 개인정보위원장은 이날 정부서울청사에서 열린 브리핑에서 “과징금 1,347억9,100만원은 SKT 연결재무제표상 매출의 최대 30%까지 부과할 수 있도록 규정돼 있다”며 “전체 매출에서 관련 없는 매출을 제외한 뒤 기준금액을 산정하고, 중대성 판단과 가중·감경 절차를 거쳐 최종 금액을 결정했다”고 말했다.

◆SKT 개인정보보호법 위반 사항은

조사 결과 개인정보위는 SKT가 인터넷망, 관리망, 코어망, 사내망을 한 네트워크에 통합해 운용하면서도 외부 인터넷망에서 내부 관리망 서버로의 접근을 사실상 무제한으로 허용해, 기본적인 접근 통제조차 이행하지 않았다고 지적했다.

아울러 SKT는 보안 업데이트를 오랜 기간 적용하지 않았다.

이번 사고에서 해커가 악성 프로그램(BPFDoor)을 심는 데 악용한 운영체제(OS) 취약점 ‘더티카우(DirtyCow)’는 2016년 10월 이미 보안 경보가 내려졌고, 패치도 공개된 상태였다. 그러나 SKT는 그 다음 달인 2016년 11월 해당 취약점이 존재하는 OS를 설치했고, 올해 4월 정보 유출이 발생할 때까지도 보안 업데이트를 진행하지 않았다.

게다가 시중의 여러 백신 프로그램으로 해당 취약점을 탐지할 수 있었음에도 불구하고 SKT는 올해 4월까지 백신 프로그램을 설치하지 않았다. 백신을 사용하지 않은 대신 취해야 할 보안 조치마저도 제대로 하지 않아, 결국 이번 대규모 정보 유출을 막지 못했다는 게 개인정보위 판단이다.

SKT는 유심 인증키를 암호화하지 않고 평문으로 저장해 개인정보 유출에 취약한 상황에 놓이게 했다는 지적도 나왔다.

SKT는 이동통신 서비스 제공에 필수적인 유심 인증키(Ki, OPc 등) 2,614만4,363건을 암호화하지 않고 평문 상태로 홈가입자서버(HSS) 데이터베이스(DB)에 저장해 해커가 원본 그대로 확보할 수 있었다. KT와 LG유플러스 등 타 통신사들은 이미 인증키를 암호화해 보관해온 것으로 확인됐다. 다만 개인정보위는 과기정통부와 마찬가지로 이번 사건으로 인한 복제폰 발생 가능성은 없다고 결론냈다.

이외에도 SKT는 개인정보 보호책임자를 지정하고 그 역할을 수행하는 데에도 미흡했으며, 유출 사고 발생 직후 법에서 정한 72시간 이내에 피해 사실을 통지하지 않아 혼란을 키웠다고 개인정보위는 밝혔다.

시정 조치로는 개인정보 보호책임자(CPO)가 회사 전체의 개인정보 업무를 총괄할 수 있도록 내부 거버넌스를 정비하고, 고객관리시스템(T월드 등) 일부에 국한된 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 범위를 이동통신 네트워크 전반으로 확대하도록 권고했다.

이번 조치는 지난 4월 SKT가 비정상적인 데이터 외부 전송을 감지해 유출 사실을 신고하면서 시작됐다. 개인정보위는 사건의 심각성을 고려해 한국인터넷진흥원(KISA)과 합동으로 임시전담조직(TF)을 꾸려 집중 조사에 착수했다.

TF 조사 결과, 해커는 2021년 8월 SKT 내부망에 침입해 다수 서버에 악성코드를 심은 뒤, 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 확보했다. 이후 2025년 4월 18일 HSS 데이터베이스에서 9.82GB 규모의 개인정보를 외부로 빼돌린 것으로 드러났다. 유출된 정보는 휴대전화번호, IMSI, 유심 인증키 등 총 25종에 달하며, 피해 규모는 LTE·5G 가입자를 포함한 2,324만4,649명으로 집계됐다(중복 제외, 알뜰폰 이용자 포함).

개인정보위는 이번 사건을 계기로 대규모 개인정보 처리자의 관리·감독을 강화하고, 개인정보 보호 체계 전반을 보완할 방안을 마련해 오는 9월 초 발표할 예정이다.

이와 관련 SKT는 개인정보위 의결서 수령 후 내용을 면밀히 검토 후 입장을 정하겠다는 방침이다.

SKT 관계자는 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것”이라며 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라고 했다.