개보위 "SKT 보안, '매우 중대하게' 부실해…개인통지도 늦었다"(종합)

작성일 08-28

<div id="layerTranslateNotice" style="display:none;"></div> SKT 유심 해킹 사태, 과징금 1347억9100만원…역대 '최대' 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="q8jL3WP35G">
 <figure class="figure_frm origin_fig" contents-hash="9f374552a09b04773a28aa01576a7f206ed846a74acc91572a69e3133e376ef1" dmcf-pid="B6Ao0YQ0tY" dmcf-ptype="figure">
 <img alt="고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다. /사진=뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/moneytoday/20250828154827666uvhl.jpg" data-org-width="1200" dmcf-mid="Gueqma1m5q" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/moneytoday/20250828154827666uvhl.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 브리핑을 갖고 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다. /사진=뉴스1
 </figcaption>
 </figure>
 개인정보보호위원회가 SK텔레콤의 개인정보 유출사고와 관련해 1000억대 과징금을 부과했다. 개인정보법이 개정된 이후 역대 최대 규모다. 이번 해킹에서 털린 유심정보를 명백한 '개인정보'로 판단하고 SKT가 개인정보 관리 의무와 재발방지 의무 모두 소홀히 하는 등 '매우 중대한' 법 위반 행위를 했다고 본 것이다. 
 28일 개인정보보호위원회(이하 개보위)는 전날 제18회 전체회의를 열고, SK텔레콤(이하 SKT)에 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다. 과징금 1347억여원은 개인정보 유출 행위로 인한 것이고, 과태료 960만원은 SKT가 개인정보 유출 통지를 지연해 피해를 확산한데 대한 것이다. 
 이는 역대급 과징금이다. 앞서 금액으로는 2022년 9월 구글과 메타에 각각 692억원, 308억원 부과한 것이 최고 과징금이었다. 개인정보유출 관련 최고 과징금은 2024년 카카오에 부과한 151억원이다. 
 개보위는 SKT 유심정보 해킹 관련 신고가 접수된 직후(4월22일)부터 3개월 간 10인 이상으로 구성된 집중조사 TF(태스크포스)를 꾸려 사안을 면밀히 조사해왔다. 그 결과 SKT가 △인터넷과 내부 코어망을 분리하지 않아 해커 공격에 취약했고 △침입탐지 시스템의 이상행위 로그도 확인하지 않았으며 △2365개의 서버에 저장된 ID정보(약 2365개)를 암호 설정 없이 저장하는 등 안전조치 의무를 위반했다고 밝혔다. 
 특히 이번에 해커가 이용한 운영체제(OS) 보안 취약점(더티카우) 관련 보안패치가 2017년 완성됐는데도 △보안시스템을 업데이트하지 않아 사태를 유발했고, 서비스 가입시 필수 인증정보인 유심 인증키(Ki) 2614만여건을 암호화하지 않고 △평문으로 저장, 사태를 키웠다고 판단했다. KT와 LG유플러스가 각각 2014년과 2011년 해당 정보를 암호화했다는 것을 인지하고도 조치하지 않았다고도 질책했다. 
 이에 따라 개보위는 SKT가 이번 사태에 대해 '매우 중대한 법 위반'을 저질렀다고 봤다. 총 4단계로 이뤄지는 중대성 판단에서 최고 수준이다. 통상 '매우 중대함'은 과징금 비율이 2% 이상이다. 현행 개인정보법은 위반 행위 직전 사업연도 전체 매출 평균의 3%까지 과징금을 부과할 수 있다.
 <figure class="figure_frm origin_fig" contents-hash="90323cababa62c2f16b37cf2929291f3529021bb629021c51185fdd52c7900b1" dmcf-pid="4rZWdfsdGh" dmcf-ptype="figure">
 <img alt="대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 과징금 처분이 내려진 28일 서울 도심의 SK텔레콤 대리점 앞으로 시민들이 지나고 있다. 개인정보보호위원회는 SK텔레콤에 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억 9100만 원, 과태료 960만원을 부과했다./사진=뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/moneytoday/20250828154828955jern.jpg" data-org-width="1200" dmcf-mid="zoYSxKDx1H" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/moneytoday/20250828154828955jern.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 과징금 처분이 내려진 28일 서울 도심의 SK텔레콤 대리점 앞으로 시민들이 지나고 있다. 개인정보보호위원회는 SK텔레콤에 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억 9100만 원, 과태료 960만원을 부과했다./사진=뉴스1
 </figcaption>
 </figure>
 고학수 개인정보보호위원장은 "유출 정보의 성격, 피해 범위가 중요한데 2300만명이 넘는 개인 정보가 유출됐다"면서 "회사가 몇 년 간 보안 취약 상태였는데 한두가지가 아니라 광범위하게 취약한 상태여서 매우 중대한 위반을 저질렀다"고 밝혔다. 또 그는 "해킹 사건의 경우 로그 기록을 보는데 빨리 조사할수록 상황파악이 쉬운 반면, SKT는 장기간 취약한 상태였다"면서 빠르게 신고하지 않은 것도 지적했다.
 이번 해킹 사고로 유출된 정보는 모두 '개인정보'라고 판단했다. IMSI(가입자식별정보)만으로는 개인이 특정되지 않아 개인정보가 아니라던 일각의 주장을 반박했다. 고 위원장은 "유출된 25종 정보를 따로 떼지 않고 전체를 보고 처음부터 개인정보라고 판단했다"면서 "스마트폰은 모든 분들이 24시간 곁에 두고 있고, 개인이 소통하는 창구다. 엔지니어링 관점에서도 궁극적 출발점은 유심정보이기 때문에 IMSI도 개인정보로 봤다"고 설명했다. 
 천억대의 역대급 과징금이 나온데 대해서는 SKT의 이동통신 매출을 기반으로 고시에 따라 가감했다고 밝혔다. 개인정보보호법 관련 '매우 중대한 위반 행위'를 했다고 판단한 점, 위반 행위 기간이 2년 이상인 점은 가중조치 이유가 됐다. 그러나 이후 위반행위를 시정한 점이나 피해 회복을 위해 노력한 점, 유심보호서비스 등 개인정보 보호 노력을 고려해 일부 감경했다. 또 이번 사태가 '경제적 이득' 목적이 아닌 외부 해커에 의한 사고라는 점 역시 고의성이 없다고 봐 감경조치했다. 
 이날 개보위는 SKT의 CPO(최고보안책임자)가 인프라 보안에 대해서는 무지했다는 점을 들어 향후 개선 방안을 내놓을 것이라고 밝혔다. 또 이번 대규모 과징금이 업계 내 개인정보보호를 경시하는 풍조에 '경각심'을 일으키길 기대한다고 덧붙였다. 
 김소연 기자 nicksy@mt.co.kr 이찬종 기자 coldbell@mt.co.kr
 </section> 
 </div> 
 Copyright © 머니투데이 &amp; mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

개보위 "SKT 보안, '매우 중대하게' 부실해…개인통지도 늦었다"(종합)

멤버랭킹

관련자료

멤버랭킹