SK텔레콤이 대규모 유심(USIM) 해킹 사태와 관련해 약 1348억 원의 과징금을 부과받았다. 이는 2022년 구글(692억 원)과 메타(308억 원)에 부과된 1000억 원을 넘어서는 것으로, 개인정보보호법 위반으로 부과된 과징금 중 역대 최대 규모다.
개인정보보호위원회는 SK텔레콤의 대규모 개인정보 유출사고와 관련해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억9100만 원, 과태료 960만 원을 부과했다고 28일 밝혔다.
개인정보위는 지난 4월 22일 SK텔레콤의 개인정보 유출 신고를 접수해 조사에 착수했다. 조사 결과, LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 사실이 확인됐다. 유출 규모는 총 2696만 건에 달했다.
해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 심었고, 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 확보했다. 이후 올 4월 18일 홈가입자서버(HSS) DB에 저장된 9.82GB 규모의 개인정보를 외부로 유출했다.
개인정보위는 SK텔레콤의 기본적인 보안 조치 미비와 관리 소홀로 인해 이번 사고가 발생했다고 판단했다. 특히 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내·외 인터넷망에서 내부 관리망 서버로의 접근을 제한없이 허용했다는 점을 문제 삼았다.
SK텔레콤이 침입탐지 시스템의 이상행위 로그를 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다고도 지적했다. SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도 비정상 통신, 추가 악성프로그램 설치 여부 등을 점검하지 않은 것으로 확인됐다. 또 계정정보가 저장된 파일을 관리망 서버에 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다.
보안 업데이트 조치를 하지 않은 점도 확인됐다. 2016년 10월 BPF도어 보안 경보 발령 후 보안 패치가 공개됐음에도 SK텔레콤은 유출 당시까지도 보안 업데이트를 실시하지 않았다. 유심 인증키 2614만건을 암호화하지 않고 평문으로 저장한 점도 지적됐다.
개인정보위는 SK텔레콤이 유출 사실을 인지한 뒤에도 피해자 통지를 지연한 점을 문제 삼아 과태료를 부과했다. SK텔레콤은 4월 19일경 유출 사실을 파악했지만 법에서 정한 72시간 내 통지를 하지 않았다. 개인정보위가 5월 2일 긴급 의결로 즉시 통지를 요구했으나 SK텔레콤은 일주일이 지난 5월 9일에야 ‘유출 가능성’을 알리는 수준의 안내를 했고, 7월 28일이 돼서야 ‘유출 확정’ 사실을 통보했다. 개인정보위는 이로 인해 사회적 혼란이 길어졌다고 봤다.
개인정보위는 이번 사태가 과징금 산정 판단 기준 중 최고 수준인 ‘매우 중대한 위반’에 해당한다고 판단했다. 고학수 개인정보위 위원장은 브리핑에서 “유출된 정보의 성격, 2300만 명의 정보 유출, 회사가 지난 몇 년간 취약 상태에 노출돼 있던 점 등이 고시의 여러 가지 항목을 위반한 것을 고려해 매우 중대함으로 결론 내렸다”고 설명했다.
이어 “회사가 전반적으로 취약한 부분이 있었고, 이를 장기간에 걸쳐 인지하고 조치할 기회가 있었음에도 놓쳤다”며 “대한민국 국민 절반이 가입자로 이용하는 상황에서 유심이 매우 중대한 정보임에도 회사가 이를 제대로 관리하지 못했다는 문제의식이 대부분 위원들에게 있었다”고 덧붙였다.
개인정보위는 재발 방지 차원에서 ▲이동통신 서비스 전반의 개인정보 처리 현황 점검 ▲개인정보 보호책임자(CPO) 권한 강화 ▲개인정보보호관리체계(ISMS-P) 인증 범위 통신 이동통신 네트워크 시스템으로 확대 등을 명령·권고했다.
또 유사 사례 방지를 위해 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 보안 투자 확대를 유도하기 위한 개선책을 담은 ‘개인정보 안전관리체계 강화 종합대책’을 9월 초 발표할 계획이다.
고 위원장은 “이번 사건이 기업들에게 개인정보보호 투자가 필수적 투자임을 인식시키는 계기가 돼야 한다”고 밝혔다.
