‘해킹사고’ SKT에 과징금 1348억원…역대 최대

고객 2324만명·25종 정보 유출…“기본 보안조치 미비·관리소홀”
보안업데이트·백신설치 안해 사고 초래…늑장 유출통지에 과태료
개인정보위 “개인정보 보호 단순 비용지출 아닌 필수 투자 인식해야”

▲ 최악 해킹 사고로 전체 이용자 2300만여명의 개인 정보를 털린 SK텔레콤(이하 SKT)에 개인정보보호위원회가 역대 최대 과징금 1348억원을 부과했다. 사진은 이날 서울 시내의 한 SKT 직영점. 연합뉴스

최악의 해킹 사고로 전체 이용자 2324만4649명의 개인정보가 유출된 SK텔레콤(SKT)에 개인정보보호위원회가 역대 최대 과징금을 부과했다.

개인정보위는 지난 27일 전체회의에서 SKT에 과징금 1347억9100만원과 과태료 960만원을 부과했다고 28일 밝혔다. 이는 개인정보위 출범 이후 최대 규모다.

조사 결과 해커는 2021년 8월부터 SKT 내부망에 침투해 다수 서버와 통합고객인증시스템(ICAS)에 악성프로그램을 설치한 뒤, 올해 4월 홈가입자서버(HSS) DB에 저장된 개인정보 9.82GB를 외부로 유출했다.

유출된 정보는 휴대전화번호, IMSI, 유심 인증키 등 25종에 달하며, 특히 유심 인증키 261만4363건이 암호화 없이 평문으로 저장돼 해커가 그대로 확보한 것으로 드러났다.

개인정보위는 SKT가 △내·외부망 분리 미흡 △침입탐지 로그 확인 소홀 △서버 접근권한 관리 부재 등 기본적인 보안 조치를 하지 않았다고 지적했다. 2022년 2월 해커의 서버 접속 사실을 확인하고도 추가 점검을 하지 않아 사고를 막을 기회도 놓쳤다.

해커가 활용한 운영체제 취약점(DirtyCow)은 2016년 보안 패치가 공개됐으나 SKT는 적용하지 않았다. 또한 개인정보보호 법규가 정한 72시간 내 유출 사실 통지를 지키지 않고, ‘유출 가능성’ 통지를 뒤늦게 시행해 이용자 보호 의무를 저버렸다는 비판을 받았다.

개인정보위는 SKT에 과징금·과태료 처분과 함께 △개인정보 안전조치 강화 △CPO 거버넌스 개선 등을 명령했다. 또 대규모 개인정보 처리 사업자에 대한 관리·감독을 강화하고 9월 초 추가 대책을 발표할 예정이다.

고학수 개인정보위원장은 “대규모 개인정보를 보유한 사업자들이 관련 예산과 인력을 필수 투자로 인식하길 바란다”고 말했다.

SKT는 “이번 결과에 무거운 책임감을 느끼며, 고객정보 보호 강화를 위해 만전을 기하겠다”고 밝혔다.