개인정보위, SK텔레콤에 '역대 최대' 과징금 1348억 부과

개인정보보호위원회가 SK텔레콤 유심 해킹 사태와 관련해 1300억원대에 달하는 역대 최대 규모 과징금을 부과했다.

개인정보위는 28일 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과했다고 밝혔다. 그동안 개인정보위 과징금 처분 중 가장 큰 금액이다.

SK텔레콤은 이번 유심 해킹 사고로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2696만건으로 파악됐다. 이는 법인·공공회선·다회선 등을 제외한 이용자를 기준으로 집계된 수치다.

개인정보위 조사 결과 해커는 2021년 8월 SKT 내부망에 처음 침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후 해커는 올해 4월 18일 가입자인증시스템(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.

개인정보위는 SK텔레콤이 기본적인 보안 조치와 관리가 소홀해 개인정보가 외부로 빠져나간 책임이 크다고 봤다. SK텔레콤은 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SK텔레콤 내부 관리망 서버로 접근을 제한 없이 허용했다. 동시에 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히했다.

특히 SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다. 유출 사고를 막을 기회를 놓친 것이다. 시스템 내 서버에 대한 접근권한 관리도 크게 부족했다.

SK텔레콤는 다수 서버(약 2365개)의 계정정보(약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 해커는 직접 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출했다.

개인정보위는 SK텔레콤에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 윈한 시정명령을 내렸다. 개인정보보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하는 것이 골자다.

개인정보위는 SK텔레콤 유심 해킹 사태와 같은 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고 개인정보 안전관리 체계 강화방안을 9월 초 발표할 방침이다. 고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"고 말했다.

박수빈 한경닷컴 기자 waterbean@hankyung.com