SKT 과징금, 정보 무단수집한 구글 2배…적정성 논란

작성일 08-28

<div id="layerTranslateNotice" style="display:none;"></div> 개인정보위, 역대최대 결정 안전조치 미이행 책임 크지만 해킹 피해기업에 더 큰 제재는 형평성과는 거리 멀어 지적 해외사례와 비교해도 이례적 1.1억건 유출된 美 T모바일 과징금은 216억원에 그쳐 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="6PoTaMvaln">
 <figure class="figure_frm origin_fig" contents-hash="af3d4977a8f7e14059e1cc2d36e3e9f2782e7a2c3d3ea211f133b162dccadbf7" dmcf-pid="PQgyNRTNSi" dmcf-ptype="figure">
 <img alt="28일 서울 시내의 한 SK텔레콤 직영점 앞을 시민이 걸어가고 있다. 개인정보보호위원회는 이날 대규모 유심 해킹 사태의 책임을 물어 SK텔레콤에 과징금 1348억원을 부과했다. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/mk/20250828180628133ktga.jpg" data-org-width="1000" dmcf-mid="4VHfZlVZCo" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/mk/20250828180628133ktga.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 28일 서울 시내의 한 SK텔레콤 직영점 앞을 시민이 걸어가고 있다. 개인정보보호위원회는 이날 대규모 유심 해킹 사태의 책임을 물어 SK텔레콤에 과징금 1348억원을 부과했다. 연합뉴스
 </figcaption>
 </figure>
 개인정보보호위원회가 28일 SK텔레콤에 역대 최대 규모의 과징금인 1347억9100만원을 부과한 배경에는 기본적인 안전 조치를 이행했다면 대규모 유심 정보 유출을 막을 수 있었다는 판단이 깔려 있다. 2차 피해 사례는 확인되지 않았지만, 정보가 외부로 빠져나가는 과정에서 관리 소홀과 법 위반이 다수 드러났다는 것이다. 고학수 개인정보위 위원장이 이날 브리핑에서 "대규모 개인정보를 보유한 사업자는 관련 예산과 인력을 비용이 아닌 필수 투자로 인식해야 한다"고 밝힌 것도 이러한 인식을 반영한다.
 실제로 개인정보위에 따르면 해커는 2021년 SK텔레콤 내부망에 침투해 서버에 악성 프로그램을 심었고, 2022년에는 통합고객 인증 시스템으로 거점을 넓혔다. 올해 4월에는 홈 가입자 서버 데이터베이스에서 휴대전화 번호, 가입자 식별번호, 유심 인증키 등 25종, 총 9.82GB(기가바이트) 규모의 개인정보가 외부로 유출됐다. 피해 범위는 LTE와 5G 전체 가입자에 달했다.
 이 과정에서 보안 관리 부실이 여럿 확인됐다. SK텔레콤은 인터넷망과 내부망을 분리하지 않고 동일한 네트워크로 운영해 외부 침투가 가능하도록 했고 침입 탐지 시스템의 이상 로그도 점검하지 않았으며, 2016년 취약점이 보고된 '더티카우'도 방치했다. 개인정보위는 "2000만건이 넘는 유심 인증키는 암호화 없이 평문으로 저장됐다"며 "접근 권한 관리도 허술해 수천 개의 계정 정보가 보호 조치 없이 남아 있었고 개인정보보호책임자(CPO)는 인프라스트럭처 영역을 사실상 관리하지 못했다"고 밝혔다.
 <figure class="figure_frm origin_fig" contents-hash="d6be84d73636958692b2befa6352081a8f8b8596857bc8610d90999726894f5e" dmcf-pid="W6LvgxSgCR" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/mk/20250828180629507dzoj.jpg" data-org-width="677" dmcf-mid="8cs0IA3IyL" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/mk/20250828180629507dzoj.jpg" width="658">
 </figure>
 사고 이후 대응도 미흡했다는 게 개인정보위의 판단이다. 개인정보보호법은 유출 사실을 안 뒤 72시간 내 통지를 의무화하고 있지만, SK텔레콤은 지난 5월 9일 유출 가능성을 통지했으며 유출 확정 통지는 지난달 28일에 완료했다. 개인정보위는 이를 근거로 SK텔레콤이 현행법에서 규정한 최소한의 의무조차 이행하지 않았다고 판단했다. 개인정보위는 이날 재발 방지를 위한 시정명령도 병행했는데 △CPO의 실질적 역할 보장 △위탁 관리·감독 철저 △3개월 내 재발 방지 대책 수립·보고 △사고 발생 네트워크·시스템의 ISMS-P 인증 취득 등을 요구했다.
 다만 과징금 규모를 두고는 통신업계에서 여러 뒷말이 나오고 있다. 대표적인 것이 구글·메타 등 해외 기업들과의 형평성 논란이다. 구글과 메타는 맞춤형 광고에 활용하기 위해 사용자 동의 없이 개인정보를 광고에 사용했다는 이유로 2022년 각각 692억원, 308억원의 과징금을 부과받았다. 영리 목적으로 고의적으로 규정을 위반한 두 기업들과 달리 SK텔레콤은 해킹 피해 기업인 만큼 더 큰 제재가 내려진 것은 형평성과는 거리가 멀다는 게 업계의 지적이다. 과징금 규모는 글로벌 사례와 비교해도 이례적이다. 미국 T모바일은 1억1000만건 유출로 216억원, AT&amp;T는 890만건 유출로 178억원의 제재를 받는 등 유심 정보가 해킹당한 통신사에 200억원 안팎의 과징금이 부과됐다.
 업계에서는 법체계 간 비례성 문제도 거론된다. 신용정보법은 개인 신용정보 유출 시 과징금 상한을 50억원으로 규정한다. SK텔레콤보다 많은 13.2TB(테라바이트) 규모의 개인정보가 탈취된 것으로 알려진 SGI서울보증보험도 이 법을 적용받는다.
 반면 SK텔레콤은 신용 정보보다 민감도가 낮은 유심 정보 유출 사건에 대해 1300억원대의 과징금 처분을 받았다. 개인정보위는 법 위반 시 관련 사업 전체 매출액의 3%까지 과징금을 매길 수 있도록 한 개인정보법 개정안에 따라 전체 이동통신 서비스 매출액을 기준으로 과징금을 산정했다고 밝혔는데, 이는 지나치게 기계적인 해석이라는 비판이 나온다. SK텔레콤은 "유심 정보 유출에 매출 3% 수준의 과징금을 부과하는 것은 과도하다"는 입장이다. 영국은 2020년 브리티시항공 해킹 사건에서 신속 보고와 보완 조치를 근거로 과징금을 90% 감경한 사례가 있어, 국내도 재발 방지를 중심으로 제도를 전환할 필요성이 제기된다.
 [김규식 기자]
 </section> 
 </div> 
 Copyright © 매일경제 &amp; mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

이전

‘해킹사태’ SKT,역대 최고 과징금 1,347억…결정타는?

08-28
다음

춘천 강아지숲서 '도그스포츠댄스 챔피언십' 내달 19일 개막

08-28

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

SKT 과징금, 정보 무단수집한 구글 2배…적정성 논란

멤버랭킹

관련자료

멤버랭킹