'2300만 개인정보' 털린 SK텔레콤에 과징금 1348억

큰사진보기

개인정보보호위원회(이하 개보위)가 지난 4월 해킹 사고로 약 2300만여 명의 개인정보를 털린 SK텔레콤(SKT)에 대해 과징금 1347억9100만 원과 과태료 960만 원을 각각 부과했다. 2020년 개인정보위가 출범한 이래 역대 최대 금액이다. 이어 SK텔테콤에 전반적인 시스템 점검과 안전조치 강화, 전사적인 개인정보 정책(거버넌스) 체계 정비 등 재발 방지를 위한 시정조치도 내려졌다.

개보위는 28일 정부서울청사에서 'SK텔레콤 개인정보 유출사고 제재처분' 결과를 발표했다.

고학수 개인정보위원장은 "(SK텔레콤) 회사가 꽤 오랜 기간 동안 전반적으로 허술한 보안 상태를 유지하고 있었다는 점에, (개인정보위) 위원들이 심각성을 제기했다"면서 "회사가 그동안 여러 차례 문제를 인지하고 또 개선할 기회가 있었음에도 이를 반복적으로 놓쳐 왔다는 점, 회사 전반이 장기간에 걸쳐 개인정보 보호 체계가 취약한 상태에 있었다는 점이 위원들 사이에서 가장 답답하게 느껴진 부분이었다"고 설명했다.

고 위원장은 특히 SK텔레콤의 사회적 책임을 강조했다. 그는 "SK텔레콤은 국내 1위 이동통신사업자로서, 국민 절반에 해당하는 이용자들의 개인정보를 보유한 사업자"라며 "이처럼 사회적 책임이 큰 기업에서 이러한 기본적인 보안 실패가 발생했다는 점에서 우려가 더욱 컸다"고 말했다.

유심(USIM)이 갖는 개인정보의 중요성에 대해 "유심(USIM) 정보는 현대 사회에서 매우 중대한 의미를 갖는 정보다. 개인이 사회와 소통하고, 다양한 서비스에 접근하기 위해 사용하는 휴대폰은 사실상 사회적, 기술적 연결의 출발점이며 그 기반이 되는 것이 바로 유심 정보"라며 "그러한 중요한 정보가 유출 됐고, 이를 회사가 제대로 관리하지 못했다는 점에 대해 깊은 문제의식을 갖지 않을 수 없다"고 강조했다.

전날 열린 전체회의 분위기에 대한 언급도 있었다. 그는 "지금까지 SKT의 입장은 회사가 합리적인 선에서 할 수 있는 최선을 다했다는 입장이었는데, 어제는 문제가 있었고 죄송스럽게 생각한다는 쪽으로 달라졌다"면서 "매우 중대한 성격을 가진 정보가 유출됐고 회사가 관리를 잘 못했다는 것에 관한 문제 인식을 대부분의 위원이 갖고 있었다"고 전했다.

고 위원장은 SK텔레콤이 행정소송을 제기할 수 있다는 일부 전망에 대해 "회사가 추후에 소송을 할지 여부는 제가 예단해서 얘기할 상황은 아닌 것 같다"면서 "저희가 조사하고 처분하는 과정에서 TF를 꾸렸는데, 이례적으로 많은 인력을 투입했고 위원회가 할 수 있는 역량을 최대한 발휘했다"고 말했다.

2022년 2월 해커 접속 사실 확인한 SK텔레콤, 시스템 점검 안해 유출 막을 기회 놓쳐

큰사진보기

앞서 개인정보위는 지난 4월 22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 조사에 착수했다. 사건의 중대성을 감안해 신고 당일 한국인터넷진흥원(KISA)과 집중조사를 위한 태스크포스(TF)를 구성해 3개월여 동안 유출 관련 사실관계, 개인정보 보호법령 위반 여부 등을 중점 조사를 해왔다.

사이버 침입은 4년에 걸쳐 장기적으로 진행된 것으로 파악됐다. 해커는 2021년 8월 SK텔레콤 내부망에 최초로 침투해 다수 서버에 악성 프로그램을 심었고, 2022년 6월에는 통합고객인증시스템(ICAS)에 2차로 추가 악성 프로그램을 설치했다. 이후 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보(9.82GB 용량)를 외부로외부로 유출한 것으로 확인됐다. 이에 대해 개인정보보호위는 SK텔레콤 쪽에서 기본 보안 조치를 제대로 하지 않은 책임이 있다고 봤다.

결국 SK텔레콤이 2022년 2월 해커가 핵심 서버인 HSS 서버에 접속한 사실을 확인하고도 시스템을 점검하지 않아 유출 사고를 막을 기회를 놓쳤다는 것이 개인정보위의 지적이다.

이뿐만 아니라 개인정보위 조사에 따르면, SK텔레콤이 ▲접근통제 조치 미흡 ▲접근권한 관리 소홀 ▲보안 업데이트 미실시 ▲유심 인증키를 암호화하지 않고 평문으로 저장하는 등 정보보호 조치 의무를 다하지 않은 것으로 확인했다. 이로 인해 전체 이용자 2324만4649명의 휴대전화번호와 가입자식별번호(IMSI), 유심(USIM·가입자식별모듈) 인증키 등 25종의 개인정보가 유출된 사실 또한 확인됐다.

또한 ▲개인정보 보호책임자(CPO) 지정 및 역할 수행 소홀 ▲이용자에 대한 유출 통지 지연 등의 법령 위반 사항도 함께 드러났다. 개인정보위는 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 정책(거버넌스) 체계를 정비하라고 시정명령을 내렸다.

과징금의 규모는 SK텔레콤의 전체 이동통신서비스 매출액을 기준으로 산정했으며, 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점 등을 고려해 '매우 중대한 위반행위'로 판단해 정해졌다고 한다. 다만 위반 행위를 시정하고 피해 회복을 위해 노력한 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 일부 감경했다는 설명이다.

고 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"며 "데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다"고 말했다.

이에대해 SK텔레콤은 개인정보위의 발표에 유감을 표했다. 회사는 별도의 입장문을 통해 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라면서도 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라고 밝혔다. 이어 "향후 의결서 수령 후에 내용을 면밀히 검토해 입장 정할 예정"이라고 덧붙였다.

한편 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화 방안을 마련해 다음달 초 발표할 예정이다.

큰사진보기