2300만여명의 개인정보 유출을 일으킨 SK텔레콤(SKT)이 개인정보보호위원회로부터 1348억원에 달하는 역대급 과징금 처분을 받게 됐다.
개인정보위는 28일 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과하기로 의결했다고 밝혔다.
1300억원이 넘는 과징금 규모는 개인정보위가 2020년 출범한 이후 부과한 과징금 처분 중 가장 크다. 고객 동의 없이 정보를 수집해 1000억원의 과징금을 부과 받은 구글·메타보다도 높은 수준이다.
고학수 개인정보위 위원장은 “고시 기준 여러 항목을 위반해 매우 중대한 위반 행위로 판단했다”며 제재 수위 결정 배경을 설명했다.
앞서 개인정보위는 지난 4월 SKT 개인정보 유출 사태 발생 인지 즉시 태스크포스(TF)를 꾸려 집중 조사에 나섰다.
조사 결과 SKT 이용자 2324만4649명의 정보가 유출된 것으로 확인됐다. 유출된 개인정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종 항목에 걸쳐 약 2700만건 규모로 추정됐다.
개인정보위에 따르면 해커가 SKT 내부망에 처음 침투한 건 4년 전이다. 2021년 8월 다수의 악성 프로그램을 설치했고, 이듬해 6월 통합고객인증시스템(ICAS)에도 악성 프로그램을 추가로 심었다. 이후 올해 4월 홈가입자서버(HSS·가입자의 이동통신망 접속을 위한 인증시스템) 데이터베이스에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.
이처럼 해커가 장기간 SKT 내부망을 휘젓고 다닐 수 있었던 데에는 SKT의 기본적인 보안 조치 미비와 관리 소홀이 영향을 미쳤다. 다수 서버의 아이디나 비밀번호가 저장된 파일도 암호 설정 없이 저장·관리했고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 설정해 뒀다. 유심 인증키 역시 암호화하지 않았다.
또한 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치도 소홀히 했다. 미연에 방지할 기회를 SKT 스스로 놓쳤다는 게 개인정보위 판단이다. SKT는 기본적인 보안 업데이트도 하지 않은 것으로 조사됐다.
고 위원장은 “회사가 꽤 오랜 기간 전반적으로 보안이 허술한 상태로 있었다. 조치할 수 있었던 계기들이 중간 중간 있었지만, 그걸 놓쳤다”고 말했다.
개인정보위는 이번 사태와 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화 방안을 마련해 9월 초 발표할 예정이다.
황인호 기자 inhovator@kmib.co.kr