[사회] 2300만명 개인정보 털린 SKT에 1348억 과징금…역대 최대

본문

17563511430888.jpg

개인정보보호위원회가 SK텔레콤(SKT)에 대한 제재안을 발표했다. 사진은 서울 시내 한 SK텔레콤 대리점. [연합뉴스]

국내 최대 이동통신사 SK텔레콤이 2300만명의 고객 정보를 유출한 것으로 확인됐다. 이에 따라 SK텔레콤은 역대 최대 규모 과징금을 부과받았다.

개인정보보호위원회(개인정보위)는 “27일 제18회 전체회의에서 개인정보 보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원을 부과하는 내용의 제재처분을 의결했다”고 28일 밝혔다.

개인정보위, SK텔레콤 제재처분 의결

17563511433123.jpg

고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다.[뉴스1]

정부가 14인의 집중 조사 테스크포스(TF)를 꾸려 이번 사태를 조사한 결과, SK텔레콤은 LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호·가입자식별번호·유심인증키 등 25종의 정보를 유출했다.

해커가 SK텔레콤 내부망에 처음 침투한 것은 4년 전이었다. 2021년 8월 다수의 악성 프로그램을 설치했고, 이듬해 6월 통합고객인증시스템에도 악성 프로그램을 추가로 설치했다. 이어 올해 4월엔 홈가입자서버(HSS·가입자의 이동통신망 접속을 위한 인증시스템) 데이터베이스에 저장한 이용자의 개인정보를 외부로 유출했다.

이처럼 해커가 장기간 내부망을 판치고 다닐 수 있었던 배경엔 SK텔레콤의 허술한 보안 수준이 영향을 미쳤다. 고학수 개인정보위 위원장은 “SK텔레콤의 개인정보보호 관리·감독은 꽤 오래 전반적으로 매우 허술한 상태를 유지하고 있었다. 회사(SK텔레콤)가 관리를 잘못했다는 문제의식을 대부분의 위원들이 가졌다”며 “이동통신 서비스의 신뢰를 떨어뜨리고 사회적 불안감을 확산시키는 등 국민 생활에도 중대한 영향을 끼쳤다”고 말했다.

2300만명 정보 털려…“매우 매우 중요 정보”

17563511435423.jpg

고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다.[뉴스1]

실제로 해커는 SK텔레콤 내부 관리망은 물론 핵심 서버인 HSS까지 접속했다. HSS엔 별도의 암호도 설정되어 있지 않았다. 해커가 별도의 인증절차도 거치지 않고 2300여만명의 개인정보를 대거 유출할 수 있었던 배경이다.

유심 인증키 역시 암호화되어 있지 않았다. 덕분에 해커는 유심 인증키를 원본 그대로 확보해 유심 복제에 사용할 수 있었다. 이에 비해 LG U+는 2011년부터, KT는 2014년부터 유심키를 암호화해 저장하고 있다.

심지어 SK텔레콤은 이런 사태를 미연에 방지할 기회도 스스로 놓쳤다. 3년 전 이미 해커가 HSS서버에 접속한 사실을 확인했지만, 제대로 점검을 하지 않았다는 것이 개인정보위 조사 결과다. 고학수 위원장은 “꽤 긴 기간을 두고 조치를 취할 수 있는 계기가 있었는데, SK텔레콤이 그 기회를 계속 놓친 부분에서 위원들이 답답함을 느꼈다”고 말했다.

SK텔레콤의 개인정보보호책임자(CPO)도 허수아비였다. 그간 SK텔레콤이 CPO의 역할을 정보기술(IT) 영역으로 한정해 구성·운영하면서, CPO가 개인정보 처리 실태조차 파악하지 못했다는 것이다.

이에 따라 개인정보위는 SK텔레콤에 과징금 1347억9100만원을 부과했다. 과징금 산정 기준에 대해 고학수 위원장은 “연결 재무제표상 2022년~2024년 매출액 중 통신 관련 매출과 피해고객 관련 매출을 고려해 ‘기준금액’을 산정했다. 이후 중대성 판단(매우 중대)을 고려하고, 1차(위반 기간 등), 2차(시정조치, 피해보상 등) 감경사유 등을 고려해 조정하는 과정을 거쳐 최종 액수를 결정했다”며 “고시에 따라 과징금을 산정하지만 각 단계별로 구체적 액수가 얼마였는지 설명드리기는 곤란하다”고 말했다.

SKT, 개인정보 유출 인지하고 19일간 입 닫아

17563511437726.jpg

고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다.[뉴스1]

해킹 사태 이후 고객에게 이를 통지하는 과정도 문제였다. SK텔레콤이 고객정보의 외부 전송 사실을 확인한 시점은 4월 19일이다. 법령상 SK텔레콤은 72시간 이내에 이용자에게 유출 사실을 통지해야 했다. 하지만 SK텔레콤은 5월 9일 ‘유출 가능성’을 사전 통지했고, 지난달 28일에야 ‘유출 확정’을 통지했다.

“개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않았다”며 개인정보위가 별도로 960만원의 과태료를 부과한 배경이다.

고학수 위원장은 “일상에서 타인과 소통하는 중요한 창구가 핸드폰인데 그 출발점은 유심 정보다. 이렇게 매우 매우 중대한 유심 정보를 국민의 절반 이용하는 통신사가 관리를 잘못해 유출했다”며 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산·인력의 투입을 비용 지출이 아닌 필수 투자로 인식하길 바란다”고 말했다.

0
로그인 후 추천을 하실 수 있습니다.
SNS
댓글목록 0
등록된 댓글이 없습니다.
전체 54,204 건 - 1 페이지