SK텔레콤이 개인정보보호위원회로부터 중대성 최고 등급인 ‘매우 중대함’ 판정을 받고 역대 최대 규모 과징금 1347억9100만원을 부과받았다. 개인정보위는 보안 취약점이 광범위하고, 관련 고시의 여러 항목을 동시에 위반한 점을 핵심 근거로 제시했다.
고학수 개인정보위원회 위원장은 28일 제18회 전체회의 관련 브리핑에서 “SK텔레콤 개인정보 유출 사고의 중대성 판단 결과 ‘매우 중대함’이라고 결론지었다”고 밝혔다. 이는 개인정보위의 4단계 중 최고 등급이다.
SK텔레콤에 역대 최대 규모의 과징금이 부과된 이유다. SK텔레콤에 내려진 과징금은 앞서 2022년 9월 구글과 메타에 부과된 1000억원을 넘어섰다. 개인정보 유출 사건 기준으로는 작년 카카오에 부과된 151억원의 약 9배다.
고 위원장은 “유출된 정보의 성격 자체가 매우 중대하며, 2300만명이 넘는 이용자 정보가 유출됐다. 회사는 수년간 취약한 상태를 방치했다”고 지적했다. 그는 이어 “한 두 가지 포인트가 아니라 광범위한 취약점이 있었고, 고시상 하나의 항목이 아닌 여러 항목을 동시에 위반했다”고 덧붙였다.
개인정보위는 특히 SK텔레콤이 사전에 충분한 조치를 취할 수 있었음에도 이를 놓친 점을 지적했다.
고학수 위원장은 “회사가 전반적으로 허술한 상태였고, 중간중간 조치할 기회도 놓쳤다”고 비판했다. 그는 “SK텔레콤은 유심 인증키 2614만4363건을 암호화하지 않고 평문으로 HSS DB 등에 저장했다”며 “반면 LG유플러스는 2011년, KT는 2014년부터 유심 인증키를 암호화해 관리하고 있다”고 밝혔다.
개인정보위는 SK텔레콤의 연 매출 약 17조원을 기준으로 통신 관련 매출을 추산하고, 중대성 판단에 따라 과징금 기준금액을 산정했다. 위반 기간이 3년을 넘어 가중 요인이 적용됐지만, 직접적인 경제적 이득이 없었던 점, 시정 노력 등은 감경 요소로 반영됐다.
고 위원장은 “통신사는 휴대폰을 통해 국민 개개인을 매개하는 사업자이며, 유심 정보는 핵심 데이터다. 대부분의 위원들이 이 정보 유출에 대해 매우 중대하다는 문제의식을 가졌다”고 설명했다.
개인정보위는 이번 사건 조사에 예외적으로 많은 인력을 투입했다고 강조했다. 고 위원장은 “조사 전문가뿐 아니라 법률·회계 전문가까지 동원해 꼼꼼하게 들여다봤다”고 말했다.
개인정보위에 따르면 이번 사건과 관련해 집단분쟁조정 신청 3건, 개별 조정 신청 600여건이 접수된 상태다. 처분 결정으로 정지됐던 분쟁조정 절차는 이번 결정을 통해 재개될 예정이다.
홍주연 기자
jyhong@chosunbiz.com