개인정보보호위원회가 전체 2300만여명의 개인정보를 유출한 SK텔레콤에 역대 최대 규모의 과징금을 부과했다.

28일 개인정보위는 전날 전체회의를 열어 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 밝혔다. 이번 제재는 개인정보위 출범 이후 최대 규모다.

개인정보위에 따르면 이번 해킹사고로 SKT의 서비스 전체 이용자 2324만4649명의 개인정보가 유출됐다. 유출된 정보는 △휴대전화번호 △가입자식별번호(IMSI) △유심 인증키(Ki·OPc) 등 총 25종에 이른다. 

조사 결과 해커는 2021년 8월 처음 SK텔레콤 내부망에 침투해 여러 서버에 악성 프로그램을 심은 것으로 확인됐다. 이후 2022년 6월에는 통합고객인증시스템에 추가로 악성 프로그램을 설치했고 지난 4월18일에는 홈가입자서버(HSS) 데이터베이스에 저장된 고객 개인정보 9.82GB를 외부로 유출했다.

개인정보위는 SKT의 기본적인 보안조치 부재와 관리 소홀로 대규모 유출이 발생했다고 지적했다. 특히 국내외 인터넷망에서 내부 관리망 서버로 접근을 제한 없이 허용했고, 침입탐지시스템의 경고 로그조차 확인하지 않았다.

시스템 내 서버에 대한 접근권한 관리도 크게 부족했다. 약 2365대 서버의 계정정보가 담긴 파일을 암호 설정 없이 관리망 서버에 저장·운영해 해커가 손쉽게 정보를 탈취했다. 특히 해커가 HSS 서버에 접속한 사실을 인지하고도 비정상 통신 여부, 악성 프로그램 설치 여부, 접근 통제 정책의 적절성 등을 점검하지 않아 사고를 키웠다.

운영체제(OS) 보안 업데이트 미이행, 사내 개인정보보호책임자(CPO)의 역할 제한, 유심 인증키 평문 저장 등 기본적인 보안 미비점도 다수 발견됐다. 특히 유심 인증키 2061만4363건은 암호화조차 하지 않은 채 저장돼 복제 위험까지 야기했다.

SKT는 유출 사실을 인지한 후에도 개인정보 보호법에서 정한 통지 의무를 지키지 않았다. 개인정보위가 지난 5월2일 즉시 통지를 의결했으나 SKT는 5월9일 '유출 가능성'만을 통지했고 7월28일  '유출 확정' 안내를 한 것으로 드러났다.

개인정보위는 SKT에 제재 조치와 함께, 이동통신 서비스 전반의 개인정보 처리 실태 점검과 거버넌스 체계 정비 등 시정명령을 내렸다. 향후 대규모 개인정보 보유 사업자에 대한 관리·감독을 강화하고, 다음달 초 개인정보 안전관리 강화 방안을 발표할 계획이다.

고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력을 단순한 비용이 아닌 필수 투자로 인식하길 바란다"고 말했다.

SKT는 "이번 결과에 무거운 책임감을 느낀다"며 "모든 경영활동에서 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기하겠다"고 했다.