[이슈플러스] SK텔레콤 유심 정보 유출 '매우 중대' 판단…개인정보 종합대책 등 문단속 계기로

작성일 08-28

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="xvavcg5rrw">
 <figure class="figure_frm origin_fig" contents-hash="281752ea438a31f6e92425205ef82d92d7a3602b7dfcc78689a729585031a40b" dmcf-pid="yP3PuFnbID" dmcf-ptype="figure">
 <img alt="고학수 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출 사고 제재처분 의결 결과를 발표하고 있다. 개인정보위는 안전조치 의무 위반 및 유출 통지 위반으로 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다. 이동근기자 foto@etnews.com" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/etimesi/20250828140427339gjlh.jpg" data-org-width="700" dmcf-mid="Q4I3SObYDr" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/etimesi/20250828140427339gjlh.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 고학수 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출 사고 제재처분 의결 결과를 발표하고 있다. 개인정보위는 안전조치 의무 위반 및 유출 통지 위반으로 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다. 이동근기자 foto@etnews.com
 </figcaption>
 </figure>
 개인정보보호위원회가 SK텔레콤 유심(USIM) 해킹사태에 역대 최대 과징금인 1347억9100만원을 부과했다. 개인정보위는 SK텔레콤이 개인정보 보호 조치를 장기간 취약한 상태로 유지했으며 유출된 개인정보도 '매우 중대'하다고 판단해 이같이 의결했다. 다만, 개인정보위는 SK텔레콤이 유심보호서비스와 비정상인증시스템(FDS) 도입으로 유심 복제 등 고객 피해 가능성은 상당히 낮을 것으로 봤다.
 ◇역대급 과징금 “매우 중대” 판단
 고학수 개인정보위 위원장은 28일 오전 정부서울청사에서 브리핑을 갖고 “해커가 SK텔레콤 내부망에 침투한 이후에 개인정보를 유출한 경로로 활용된 통신 인프라 영역에 대한 개인정보 보호 관리·감독이 매우 허술하게 이뤄졌다”고 말했다.
 개인정보위는 전날 전체회의에서 SK텔레콤에 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과하기로 의결했다. 이번 과징금 규모는 개인정보위가 2020년 출범 이후 부과한 과징금 중 역대 최대규모로, 지난 2022년 구글에 처분한 692억원을 훌쩍 뛰어넘는 수준이다.
 개인정보위는 SKT의 3년 평균 별도기준 약 매출 12조원에서 법인고객, 망사용료, 3세대(G) 통신 등을 제외하고 이번 해킹사고와 직접 연관이 된 롱텀에볼루션(LTE)·5세대 관련 매출 약 10조원을 기준금액으로 산정했다. 이후 중대성 판단(매우 중대)을 고려하고, 1차(위반 기간 등), 2차(시정조치, 피해보상 등) 감경사유 등을 따져 최종 과징금을 결정했다.
 고 위원장은 개인정보위 위원들이 전체회의에 앞서 네 차례 사전 간담회를 거치며 이번 SK텔레콤 사고가 매우 중대하다는 데 공감대를 형성했다고 전했다.
 ◇유심 복제 가능성은 적어
 고 위원장은 “SKT가 오랜 기간 전반적으로 (개인정보 보호 관리가) 허술한 상태에 놓여 있었고 중간중간 (개선할) 기회가 있었는데 놓쳤다”며 “위원들이 전반적으로 답답함을 느꼈다”고 말했다.
 일례로 SKT는 2022년 2월 해커가 홈가입자서버(HSS)에 접속한 사실을 확인한 뒤에도 조치하지 않았다. 또 이번 사고 이전에 LG유플러서, KT 등 타 통신사가 유심 인증키(Ki)를 암호화해 저장하고 있음을 확인했음에도 관련 조치가 없었던 것으로 나타났다. 개인정보위는 이번에 유출된 휴대전화번호·가입자식별번호·유심인증키 등 25종의 정보를 종합적으로 두고 개인정보로 판단했다. SKT 측도 전체회의에서 소명 시 '유출 정보가 개인정보에 해당되지 않는다'고 주장하지 않았다.
 다만, 개인정보위도 SK텔레콤 이용자의 유심복제 등 피해 가능성은 낮은 것으로 봤다. 고 위원장은 과거 유심 복제로 인한 피해 가능성이 존재한다고 밝힌 바 있다. 이에 대해 고 위원장은 “유심 카드를 공기계, 다른 공기계에 옮겨서 이용하는 것이 흔히 가능하고, 과거에는 일반적으로 가능했지만, 지금 SK텔레콤의 경우는 거의 불가능하다”며 “FDS가 상당히 고도화되고 유심보호서비스가 제대로 작동하는 상황이라면 유심 복제는 거의 불가능한 그런 상황이라고 말씀드릴 수 있을 것 같다”고 말했다.
 SK텔레콤 이용자 정보가 싱가포르를 경유했다는 보도에 대해서는 이후 유출 데이터의 목적지와 관련해서는 수사기관 수사가 진행중이라는 입장이다.
 ◇사회적 개인정보보호 강화 계기로…종합대책 준비
 개인정보위는 이번 사건을 계기로 9월 초 대규모 개인정보 처리자의 보안 투자 확대와 인센티브 개편을 포함한 '개인정보 안전관리체계 강화 종합대책'을 발표할 계획이다. 기업의 정보보호에 대한 경각심을 높이고 실질적 관리 가이드라인을 제시해 유사 사태 재발을 막는다는 목표다.
 고 위원장은 “조만간 발표될 정책 방안은 이번 건을 계기로 기업 현장 또는 기관, 공공기관 현장 관계자들이 고시 또는 지침해설서에 있는 내용의 최소한만 실행하려던 문화를 바꿔 실제 현장에서 합리적인 선에서 할 수 있는 최선의 노력을 다하도록 하는데 초점을 맞췄다”며 “현장에서 최대한의 (보안을 달성하도록) 구조와 분위기를 만들고, 인센티브를 제공할 수 있도록 하겠다”고 말했다.
 고 위원장은 SK텔레콤의 행정처분 취소 소송 제기 가능성과 관련해 “예단해서 얘기할 수 있는 상황이 아니다”며 말을 아꼈다. SKT는 개인정보위로부터 심의의결서를 수령한 뒤 90일 안에 행정심판을 청구할 수 있다.
 고 위원장은 “위원회 조직 규모로 볼 때 태스크포스(TF)에 이례적으로 많은 인력을 투입했고 조사 전문가뿐만 아니라 법률·회계 전문가를 투입해 전체 조사 절차를 진행했다”며 “위원회가 할 수 있는 역량을 최대한 발휘해 꼼꼼하게 (조사를)진행했다”고 말했다.
 조재학 기자 2jh@etnews.com
 </section> 
 </div> 
 Copyright © 전자신문. 무단전재 및 재배포 금지.

이전

개인정보분쟁위, '유심정보 유출' SKT 집단분쟁 재개

08-28
다음

소지섭 '미사'와 공통분모, 20년 세월 여전해 [한혁승의 포톡]

08-28

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

[이슈플러스] SK텔레콤 유심 정보 유출 '매우 중대' 판단…개인정보 종합대책 등 문단속 계기로

멤버랭킹

관련자료

멤버랭킹