개보위, SKT에 사상 최대 과징금 1348억 부과 … "관리 소홀로 국민생활에 큰 영향"

개인정보위원회가 지난 4월 SK텔레콤의 사이버 침해 사고에 따른 개인정보유출과 관련 1348억원의 과징금을 부과했다. 이는 개인정보위 역사상 가장 높은 규모의 과징금이다. 

개인정보위는 지난 27일 제18회 전체회의에서 개인정보 보호 법규를 위반한 SKT에 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다고 28일 밝혔다. 

이와 함께 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치도 의결했다.

개인정보위는 지난 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 조사에 착수했다. 개인정보위는 사건의 중대성을 감안해 신고 당일 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(이하 ‘TF’)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했다.

TF의 조사 결과, SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.

개인정보위는 개인을 식별.인증하고 연결하는 핵심 수단으로 휴대전화가 이용되고 각종 서비스의 본인 확인이 일상화된 상황에서 이동통신 이용에 필요한 가입자식별번호(IMSI) 및 유심 인증키가 대규모로 유출됨에 따라 이동통신 서비스의 신뢰도가 저하되고, 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다고 판단했다.

특히 SKT의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것이 확인됐다. 

개보위는 SKT가 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었다고 판단했다. 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했고, 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 사고를 방지할 기회도 놓친 것으로 확인됐다.

이 외에도 ▲접근권한 관리 소홀 ▲보안 업데이트 미조치 ▲유심 인증키를 암호화하지 않고 평문으로 저장 ▲개인정보 보호책임자 지정 및 업무 수행 소홀 ▲개인정보 유출통지 지연 등도 SKT의 문제로 꼽혔다.

개인정보위는 이번 조사·처분은 단순히 특정 기업에 대한 제재를 넘어, 우리 사회 전반에 개인정보 보호의 중요성을 다시 한번 환기시키는 계기가 될 것으로 기대했다.

고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며, “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.

한편, 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.