개보위, 유심 해킹 SKT에 1347억 역대 최대 과징금

개인정보보호위원회(개보정보위)가 SK텔레콤이 개인정보 안전조치 의무 위반으로 유심(USIM) 해킹사태를 유발했다며 SK텔레콤에 역대최대 규모인 1300억원대 과징금 부과했다. 전체 기업과 산업계에 정보보호에 대한 경각심이 확산되는 계기가 될 지 주목된다.

개인정보위는 지난 27일 서울 종로구 정부서울청사에서 전체회의를 열고, 개인정보보호법을 위반한 SK텔레콤에 과징금 1347억9100만원·과태료 960만원을 각각 부과하기로 의결했다.

과징금은 개인정보보호법 상 정보보호조치 위반에 대한 징벌적 성격이고, 과태료는 고객통지 지연 등 행정절차 미준수에 대한 징벌이다. 개보위는 개인정보 처리에 관한 안전조치를 강화하고, 최고개인정보보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄하도록 거버넌스 체계를 정비할 것을 시정 명령했다. SK텔레콤이 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 현재 T월드 등 일부 고객관리시스템에서 통신 이동통신 네트워크 시스템으로 확대하도록 개선 권고도 부과했다.

개인정보위가 SK텔레콤에 부과한 1347억원은 2020년 개인정보위가 중앙행정기관으로 출범한 이래 최대 과징금이자, 출범 4년간 부과한 누적 과징금인 2300억원의 절반을 넘는 금액이다.

개인정보위는 지난 4월 22일 SK텔레콤의 유출 신고를 접수하고, 한국인터넷진흥원(KISA)과 함께 태스크포스(TF)를 꾸려 유출 관련 사실관계, 개인정보 보호법령 위한 여부 등을 조사했다. 개보위는 SK텔레콤의 다수 시스템 해킹으로 롱텀에볼루션(LTE)·5세대(5G) 서비스 전체 이용자 약 2324만4649명의 휴대폰번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 봤다. 법인·공공회선, 다회선, 기타 회선 등을 제외한 수치다. 해커는 지난 2021년 8월 SK텔레콤 내부망에 최초 침투했다. 이후 지난 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자의 개인정보(9.82GB)를 외부로 빼낸 것으로 확인됐다.

개인정보위는 이번 해킹사고가 SK텔레콤의 심각한 보안 조치 미비와 관리 소홀 등 안전조치 의무 위반으로 인해 발생했다고 결론을 내고 역대 최대 규모 과징금을 부과했다. 구체적으로 △인터넷과 내부망 간 보안 운영 환경을 취약하게 운영하는 등 접근통제조치 소홀 △다수 서버의 계정정보가 저장된 서버에 대한 암호 미설정 등 접근권한 관리 소홀 △보안 취약점이 알려진 운영체계(OS)를 인지한 채 설치하고도 보안 업데이트 미실시 및 백신 프로그램 미설치 △유심 인증키를 암호화하지 않은 채 평문으로 저장 등 관리 소홀을 지적했다. 개인정보보호법은 위반자의 전체 매출의 3%까지를 과징금으로 부과할 수 있도록 한다.

고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.

조재학 기자 2jh@etnews.com, 박지성 기자 jisung@etnews.com