유심해킹 SKT에 1348억 과징금 ‘역대 최대’

▲SK텔레콤 을지로 사옥 전경.

SK텔레콤이 지난 4월 발생한 대규모 유심(USIM) 해킹 사태에 따른 귀책사유로 약 1348억원의 과징금을 부과받았다.

지난 2022년 구글 692억원, 메타 308억원에 부과됐던 규모를 넘어선 과징금액으로, 개인정보보호법 위반 과징금 가운데 역대 최대에 해당한다.

개인정보보호위원회는 SK텔레콤의 대규모 개인정보 유출사고와 관련해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억9100만원, 과태료 960만원을 부과했다고 28일 밝혔다.

개인정보위는 지난 4월 SK텔레콤의 유출 신고를 접수한 뒤, 한국인터넷진흥원과 합동 태스크포스를 꾸려 조사를 진행했다. 조사 결과 LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 총 25종의 개인정보가 유출된 사실이 확인됐다. 유출 규모는 2696만건에 달했다.

해커는 2021~2022년 SK텔레콤 내부망에 침투해 장기간 거점을 마련한 뒤, 올해 4월 서버에서 약 9.82GB 규모의 개인정보를 외부로 유출한 것으로 드러났다.

개인정보위는 이 사건이 SK텔레콤의 기본적인 보안 조치 미비에서 비롯됐다고 지적했다. △인터넷망·관리망·코어망·사내망을 구분하지 않고 연결한 점 △서버 계정정보 파일을 암호화 없이 관리 서버에 저장한 점 △2016년부터 알려진 운영체제 보안 취약점을 방치한 점 △2614만건의 유심 인증키를 암호화하지 않고 평문으로 저장한 점 등이 대표적인 위반 사례로 꼽혔다.

SK텔레콤은 지난 4월 19일경 유출 사실을 인지했으나, 법에서 정한 72시간 내 피해자 통지를 하지 않았다. 개인정보위가 5월 2일 긴급 의결로 즉시 통지를 요구했지만, SK텔레콤은 일주일이 지난 5월 9일 '유출 가능성'을 알리는 수준의 안내만 진행했다. 실제 유출 확정 사실을 통보한 것은 두 달 이상 지난 7월 28일이었다.

개인정보위는 이 같은 지연으로 사회적 혼란이 장기화됐다고 보고, 이번 사태를 제재 기준 중 최고 수준인 '매우 중대한 위반'으로 판단했다. 고학수 개인정보위 위원장은 “2300만명 개인정보 유출과 회사의 장기간 보안 취약 노출, 그리고 다수 고시 항목 위반을 종합해 '매우 중대'로 결론 내렸다"고 말했다.

개인정보위는 재발 방지를 위해 △이동통신 서비스 전반 개인정보 처리 현황 점검 △개인정보 보호책임자(CPO) 권한 강화 △개인정보보호관리체계(ISMS-P) 인증 범위를 이동통신 네트워크 시스템까지 확대할 것을 명령·권고했다.

SK텔레콤은 공식 입장을 통해 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에서 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기하겠다"고 밝혔다.

다만 일각에서는 과징금 규모가 지나치게 커 SK텔레콤이 불복할 수 있다는 관측도 나온다. 개인정보위 처분에 대해서는 의결서를 받은 뒤 90일 이내 행정심판을 청구하거나 관할 법원에 행정소송을 제기할 수 있다.

SK텔레콤은 과징금 산정 과정에서 보안 활동, 정보보호 투자, 피해 구제 노력이 감경 요소로 충분히 반영되지 않았다고 불만을 제기했다. 실제로 사고 직후 유심 교체, 한시적 해지 위약금 면제, 5000억원 규모의 고객 보상 프로그램을 내놓은 바 있다.

또 사건의 규모와 성격은 다르지만, 구글·메타 과징금이나 LG유플러스 해킹 사태(68억원)와 비교하면 형평성에 맞지 않는다는 주장도 제기된다.

SKT 관계자는 “조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라며 “향후 의결서를 받은 뒤 내용을 면밀히 검토해 대응 방안을 정하겠다"고 말했다.

김윤호 기자 kyh81@ekn.kr