고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 열린 제18회 전체회의 안건 관련 브리핑에 참석하고 있다. 연합뉴스

SK텔레콤이 대규모 유심(USIM) 해킹 사태와 관련해 역대 최대 과징금을 부과받았다. 개인정보보호위원회는 27일 전체회의를 열고 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과하기로 의결했다고 28일 밝혔다.

이번 제재는 개인정보위가 부과한 과징금 가운데 최대 규모다. 앞서 2022년 구글(692억 원), 메타(308억 원), LG유플러스(68억 원) 등에 대한 과징금이 있었지만, 이번 SK텔레콤 제재액은 이를 크게 웃돈다.

개인정보위 조사 결과, 해커는 2021년 8월 SK텔레콤 내부망에 침투해 다수 서버에 악성 프로그램을 심었다. 이후 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 확보했고, 지난 4월에는 가입자 관리 핵심 시스템인 홈가입자서버(HSS) DB에서 9.82GB 규모의 개인정보를 외부로 빼냈다.

유출된 정보에는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 총 25종이 포함됐다. 전체 LTE·5G 가입자 2324만여 명의 정보가 유출된 것으로 확인됐으며, 법인·공공회선 등을 합치면 약 2696만 건에 달한다.

보안 관리 부실도 드러났다. SK텔레콤은 인터넷망과 관리망, 코어망을 같은 네트워크로 묶어 운영하면서 불필요한 접근을 차단하지 않았다. 또 2365개 서버의 계정정보(ID·비밀번호)를 암호화 없이 보관했고, HSS에서는 별도 인증 절차 없이 개인정보를 열람할 수 있었다.

보안 패치도 미흡했다. 해커가 활용한 ‘DirtyCow’ 취약점은 이미 2016년 보안 업데이트가 공개됐으나, SK텔레콤은 이후에도 해당 OS를 설치하고 보완하지 않은 것으로 확인됐다. 가입자 인증에 쓰이는 유심 인증키 2600만여 건 역시 암호화되지 않은 상태로 저장돼 있었다.

통지 의무 위반도 문제로 지적됐다. 개인정보보호법상 유출 사실을 72시간 내 통보해야 하지만, SK텔레콤은 7일 뒤 ‘유출 가능성’을 안내했고, 26일 뒤에야 ‘유출 확정’ 사실을 알렸다.

개인정보위는 SK텔레콤에 전사적인 보안 체계 정비와 개인정보 보호 거버넌스 강화 등 시정조치를 명령했다. 또 대규모 개인정보 처리 기업에 대한 관리·감독을 강화하고, 9월 초 안전관리 강화 방안을 추가로 발표할 계획이다.

개인정보위는 “개인정보 보호책임자(CPO)의 실질적 역할 보장, 위탁 관리·감독 철저 등도 포함해 3개월 내 재발 방지 대책 수립·보고하고, 사고 발생 이동통신 네트워크·시스템에 개인정보보호관리체계(ISMS-P) 인증 취득 등 내용의 시정명령과 개선 권고를 내렸다”고 설명했다.