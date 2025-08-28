개인정보보호위원회(개인정보위)가 해킹으로 대규모 개인정보 유출 사태를 일으킨 SK텔레콤에 1347억 원의 과징금을 부과하기로 결정했다. 개인정보위가 부과한 과징금 중 역대 최대 규모로, 2022년 구글과 메타에 부과된 1000억 원보다 많다.
개인정보위는 28일 서울 종로구 정부서울청사 본관에서 브리핑을 열고 “개인정보보호 법규를 위반한 SK텔레콤에 과징금 1347억9100만 원과 과태료 960만 원을 각각 부과했다”고 밝혔다. 과징금은 법 위반으로 얻은 경제적 이익을 환수하기 위한 행정제재금이고, 과태료는 신고·통지 등 절차상 의무 위반에 대해 부과되는 행정상의 벌금성 제재다.
개인정보위 조사 결과, 4월 18일 SK텔레콤의 핵심 인증 서버(HSS)에 해커가 침투했다. 이로 인해 SK텔레콤의 LTE·5G 전체 이용자 2324만여 명의 전화번호와 유심 인증키(Ki) 등 주요 개인정보가 유출됐다. 건수로는 2696만 건에 달한다. 고학수 개인정보위 위원장은 “제재 수위를 정할 때 사안의 중대성을 고려하게 되는데, 이번 사안은 위원회 내부에서도 ‘매우 중대하다’는 의견이 모였다”고 설명했다.
SK텔레콤은 이날 개인정보위 결정에 대해 “무거운 책임감을 갖고 있다”면서도 “조사와 의결 과정에서 회사의 조치와 입장을 충분히 소명했음에도 결과에 반영되지 않아 아쉽다”고 밝혔다. SK텔레콤 측은 과징금 규모가 과도하다며 불복 소송 제기를 검토 중이다.
개인정보위는 SK텔레콤의 개인정보 관리가 심각하게 미흡했다고 판단해 역대 최대 규모의 과징금을 부과했다. 특히 피해를 사전에 막을 수 있었음에도 장기간 방치한 책임이 크다고 판단했다.
28일 개인정보위 발표에 따르면 SK텔레콤은 국내외 인터넷망과 사내망을 동일한 네트워크로 운영해 외부에서 가입자식별번호(IMSI) 같은 내부 정보에 손쉽게 접근할 수 있도록 했고, 유심 복제 등에 쓰일 수 있는 민감 정보를 암호화하지 않았다. 또 해커가 악성코드(BPFDoor)를 설치할 때 악용한 운영체제(OS)에 대해 보안 업데이트나 백신 프로그램도 설치하지 않은 것으로 드러났다. 이러한 기술적·관리적 보호조치 미비가 과징금 부과의 근거다.
개인정보 유출 사실을 인지한 뒤에도 이용자에게 법정 기한 내 통지하지 않은 점은 과태료 처분 사유가 됐다. SK텔레콤은 4월 19일경 유출 사실을 확인했지만, 법에서 정한 72시간 내 피해자에게 알리지 않았다. 개인정보위가 즉시 통지를 요구했음에도 7월 28일이 돼서야 ‘유출 확정’ 사실을 통보했다. 이 때문에 피해자들은 수개월 동안 개인정보 유출 사실조차 알지 못한 채 2차 피해에 노출될 위험에 놓였다. 이에 개인정보위는 과징금과 과태료 외에도 재발 방지를 위한 시정 명령과 개선 권고를 내렸다.
앞서 일각에선 SK텔레콤의 지난해 매출액 12조7000억 원을 기준으로 과징금이 최대 3000억 원에 이를 수 있다는 분석도 나왔다. 이에 대해 개인정보위는 “과징금 산정 시 전체 매출이 아닌 위반 행위와 무관한 매출을 제외한 금액을 기준으로 한다”며 “법인 고객 매출과 회사 간 정산액 등을 제외해 차이가 발생했다”고 설명했다.
SK텔레콤은 이날 입장문을 내고 “모든 경영 활동에서 개인정보 보호를 최우선 가치로 삼고 고객 정보 보호 강화를 위해 만전을 기하겠다”며 “향후 개인정보위 의결서 수령 후 내용을 면밀히 검토해 대응 방안을 정하겠다”고 밝혔다.
다만 SK텔레콤 측은 과징금 규모가 과도하다며 불복 소송을 검토하고 있다고 한다. 최근 방송통신위원회 통신분쟁조정위원회의 해지 위약금 전면 면제 결정도 수용하지 않겠다는 입장을 보이고 있다. 업계에선 과징금 규모의 적정성을 두고 논란이 이어졌다. 한 통신업계 관계자는 “기업에만 책임을 묻는 과도한 제재는 오히려 해킹 사고를 숨기고 신고를 기피하게 만드는 역효과를 낳을 수 있다”고 지적했다.
이번 제재 확정으로 개인정보위에 접수된 분쟁조정 신청 처리도 속도를 낼 전망이다. 현재까지 집단 분쟁조정 신청은 3건, 약 2025명이 참여하고 있으며 개인 분쟁조정 신청은 610여 건에 이른다. 조사 진행으로 중단됐던 분쟁조정 절차는 제재 확정에 따라 곧 재개될 예정이다. 한편 개인정보위는 다음 달 초 대규모 정보처리자의 개인정보 보호·보안 투자 확대와 인센티브 체계 개편을 포함한 ‘개인정보 안전관리체계 강화 종합대책’을 발표할 계획이다.
