개인정보보호위원회(개인정보위)가 지난 27일 열린 제18회 전체회의에서 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과하는 내용의 제재처분을 의결했다.

정부가 집중 조사 태스크포스(TF)를 꾸려 이번 사태를 조사한 결과, SK텔레콤은 LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호 등 25종의 정보를 유출했다.

해커는 4년 전부터 SK텔레콤 내부망에 침투해 악성 프로그램을 설치하고 홈가입자서버(HSS·가입자의 이동통신망 접속을 위한 인증시스템) 데이터베이스에 저장한 이용자의 개인정보를 외부로 유출했다. 해커가 장기간 SK텔레콤 내부망을 제집처럼 드나든 건 SK텔레콤의 허술한 보안 수준이 영향을 미쳤다. 핵심 서버인 HSS에는 별도 암호조차 설정돼 있지 않았다. 고학수 개인정보위 위원장은 “SK텔레콤의 개인정보보호 관리·감독은 꽤 오래 전반적으로 매우 허술한 상태를 유지하고 있었다”고 말했다.

SK텔레콤은 이런 사태를 미연에 방지할 기회도 스스로 놓쳤다. 3년 전 해커가 HSS 서버에 접속한 사실을 확인했지만, 제대로 점검하지 않은 것으로 드러났다. SK텔레콤의 개인정보보호책임자(CPO)는 개인정보 처리 실태조차 파악하지 못하는 허수아비였다.

이에 따라 개인정보위는 SK텔레콤에 과징금 1347억9100만원을 부과했다. 개인정보위가 2020년 출범한 이래 역대 최대 규모의 과징금이다. SK텔레콤은 “당사 조치·입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 “무거운 책임감을 갖고 고객정보 보호 강화를 위해 만전을 기할 것”이라고 밝혔다.

개인정보위는 960만원의 과태료도 부과했다. 이용자에게 해킹 사태를 늑장 통지해서다. SK텔레콤은 지난 4월 19일 고객정보 외부 전송 사실을 확인했지만, 지난달 28일에야 ‘유출 확정’을 통지했다. 법령상 72시간 이내에 이용자에게 유출 사실을 통지해야 한다.

고학수 위원장은 “매우 중대한 유심 정보를 국민의 절반이 이용하는 통신사가 관리를 잘못해 유출했다”며 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산·인력의 투입을 필수 투자로 인식하길 바란다”고 말했다.