유심 해킹으로 1348억원 과징금…개인정보위, SK텔레콤에 역대 최대 제재

사상 초유의 유심 해킹 사태를 겪은 SK텔레콤이 1347억9100만원의 과징금을 부과받았다. 개인정보보호위원회가 지금까지 부과한 과징금 중 가장 큰 규모다.

고학수 개인정보보호위원회 위원장은 8월 27일 오후 서울 종로구 정부서울청사에서 열린 제18회 개인정보보호위원회 전체회의에서 과징금 부과를 의결했다. 개인정보위는 이날 SK텔레콤에 과징금과 함께 과태료 960만원을 부과하고, 재발 방지를 위한 시정조치안을 의결했다고 28일 밝혔다.

이번 제재는 개인정보위가 지금까지 내린 처분 가운데 가장 큰 금액이다. 종전까지는 2022년 9월 구글(692억원)과 메타(308억원)에 각각 부과한 것이 최대였다. 개인정보 유출 사고에 대한 과징금으로는 2023년 5월 카카오톡 오픈채팅방 유출 사건에 대한 카카오 과징금 151억원이 가장 컸다.

개인정보위는 올해 4월 22일 SK텔레콤이 비정상적 데이터 외부 전송을 신고해옴에 따라 조사를 시작했다. 같은 날 한국인터넷진흥원(KISA)과 공동으로 조사 태스크포스를 구성해 약 3개월간 집중 조사를 벌였다.

해당 태스크포스는 개인정보위 조사관 4명, 사내 변호사 및 회계사 3명, KISA 조사관 7명으로 구성됐다. 현장 및 서면 조사와 디지털 증거 수집을 통해 SK텔레콤의 주요 개인정보 처리 시스템을 조사했다.

조사 결과 SK텔레콤은 LTE와 5G 가입자 2324만4649명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 총 25종의 개인정보가 유출된 것으로 확인됐다. 해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 악성 프로그램을 설치했고, 2022년 6월에는 통합고객인증시스템에도 침투했다. 이후 2024년 4월 18일 홈가입자서버 DB에 저장된 9.82GB 규모의 개인정보를 외부로 유출했다.

개인정보위는 해당 사고가 SK텔레콤의 기본적인 보안 조치 미비와 관리 소홀로 발생했다고 판단했다. 구체적인 위반 사항으로는 ▲인터넷망과 관리망, 코어망, 사내망을 동일 네트워크로 연결하고 접근을 제한하지 않은 점 ▲서버 계정정보가 담긴 파일을 암호화 없이 관리 서버에 저장한 점 ▲2016년부터 알려진 운영체제 보안 취약점에 대한 보안 업데이트를 하지 않은 점 ▲유심 인증키 2614만4363건을 암호화하지 않고 평문으로 저장한 점 등을 들었다. 

특히 2022년 언론에서 유심 복제 이슈가 제기된 이후, SK텔레콤은 암호화 필요성을 검토했고 타 통신사들이 유심 인증키를 암호화 저장하고 있음을 파악했으나 아무런 조치를 하지 않은 것으로 드러났다.

또 개인정보보호책임자(CPO) 관리 범위를 IT영역에만 한정해 이번 사고가 발생한 인프라 영역은 사실상 감독이 이뤄지지 않았다. 아울러 유출 사실을 인지한 시점(2024년 4월 19일)으로부터 72시간 이내에 피해 이용자에게 통지하지 않아 법령을 위반했다.

개인정보위는 이 같은 점을 종합적으로 고려해 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과했다. 동시에 이동통신 서비스 전반의 개인정보 처리 현황을 점검하고, 거버넌스 체계와 CPO의 권한을 전사 수준으로 확대할 것을 시정명령으로 요구했다. 현재 일부 고객관리시스템에만 적용된 개인정보보호 관리체계 인증을 이동통신 네트워크 전반으로 확대할 것도 권고했다.

고학수 개인정보보호위원장은 "이번 사건을 계기로 대규모 개인정보를 보유한 기업들이 관련 예산과 인력을 단순한 비용이 아니라 필수 투자로 인식하길 바란다"며 "데이터 경제 시대에는 CPO와 전담 조직의 중요성이 높아지고 있다. 이번 조치를 통해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 기대한다"고 말했다.

홍주연 기자
jyhong@chosunbiz.com