SK텔레콤 개인정보 유출, 과징금 1348억…역대 최대 제재

• 개인정보위, 보안관리 소홀·신고 지연 모두 문제로 지적
• 유심 인증키·전화번호 등 25종 항목, 약 2700만건 유출
• “보안투자 비용 아닌 필수적 투자로 인식해야” 강조

개인정보보호위원회가 SK텔레콤의 대규모 개인정보 유출 사건에 대해 1347억9100만원의 과징금과 960만원의 과태료를 부과했다. 개인정보위 출범 이후 단일 사건 기준 역대 최대 규모다.

이번 사태는 지난 4월 18일 SK텔레콤의 핵심 인증 서버(HSS)가 해킹을 당하면서 발생했다. 해커는 가입자 식별정보, 유심(USIM) 인증키 등 25개 항목, 총 2696만건에 달하는 개인정보를 외부로 빼돌린 것으로 확인됐다. 실제 피해 이용자는 약 2324만명으로, 국내 단일 사건 기준 최대 규모다.

개인정보위 조사 결과 SK텔레콤은 인터넷·관리망·사내망을 동일 네트워크로 운영해 외부 접근 차단이 제대로 이뤄지지 않았으며, 다수 서버 계정정보를 암호화 없이 보관하는 등 기본적인 보안조치마저 소홀했다. 2022년 해커의 침입 징후를 확인하고도 점검·차단 조치를 하지 않아 사전에 막을 기회를 놓쳤다는 점도 지적됐다.

또한 SK텔레콤은 지난 4월 19일 개인정보 유출 사실을 확인하고도 법정 통지 기한인 72시간 내에 보고하지 않았다. 가입자 통지도 늦어, 위원회가 5월 초 긴급 의결을 내린 뒤에야 일부 ‘가능성’만 알리고 실제 확정 통지는 지난달 말에서야 이뤄졌다.

개인정보위는 SK텔레콤에 재발 방지 대책을 마련하고, 개인정보보호책임자(CPO)가 전사적인 관리 체계를 총괄하도록 시정명령을 내렸다. 동시에 대규모 개인정보 처리 사업자를 대상으로 한 관리·감독 강화 방안을 9월 초 발표할 예정이다.

고학수 개인정보위원장은 “이번 사건을 계기로 대규모 개인정보를 보유한 기업들이 보안 예산과 인력을 단순 비용이 아닌 필수적 투자로 인식하길 바란다”고 강조했다.

업계는 이번 제재가 통신·플랫폼 업계를 넘어 금융·유통 등 대규모 개인정보를 다루는 전 산업권에 경각심을 줄 것으로 보고 있다. 특히 최근 사이버 공격이 점점 정교화되는 만큼, 기업들의 보안 투자 확대와 내부 관리 강화가 불가피하다는 지적이 나온다.

더 좋은 미래를 위한 콘텐츠 플랫폼 – <굿퓨처데일리>