최근 SK텔레콤(SKT)이 해킹으로 2,324만 명의 가입자 개인정보를 유출하여 역대 최대 규모의 과징금 처분을 받았습니다. 개인정보보호위원회는 안전조치 의무 소홀을 이유로 SKT에 1,347억 9,100만 원의 과징금을 부과하고, 정보 유출 통지를 지연한 것에 대해 960만 원의 과태료를 추가로 부과했습니다. 이번 사건은 통신사의 개인정보 관리 실태에 대한 경각심을 높이는 계기가 되고 있습니다.
고학수 위원장은 "과징금 고시에 따라 기준금액을 정한 다음 중대성 판단을 했다"며 "그 뒤 1차, 2차, 최종 과징금 감경 여부를 판단해 과징금 액수를 단계적으로 결정했다"고 설명했는데요.
이어 "단계에서 어떤 요소가 어떤 식으로 반영됐는지 고시에 규정돼있다"며 "출발점에선 SK텔레콤의 연결재무제표 3년치 매출을 바탕으로 통신과 관련된 매출을 산정하고, 개인정보와 관련된 부분을 셈하기 위해 법인매출 등을 제하고 또 LTE와 5G 관련된 부분을 고려해 정했다"고 부연했습니다.
또한 "중대성 자체도 매우 중대한 것으로 위원회 회의에서 결정했다"며 "위반 기간이 3년을 넘어 고시에도 이에 대한 기계적 규정이 있다"고 덧붙였습니다.
아울러 "위반 기간이 2년을 넘기면 해당 부분에 대해 가중하고. 2차 조정에선 회사의 시정조치, 피해보상 노력 등을 고려해 감경되는 부분이 있었다"며 "그 과정을 모두 거쳐 최종액수를 정했다"고 말했습니다.
SK텔레콤 과징금 주요 유출 내용 및 원인
유출 규모 및 정보: 해킹으로 인해 SKT와 알뜰폰 가입자 2,324만 명의 휴대폰 번호, 유심 인증키(Ki, OPc) 등 25종의 민감 정보가 유출되었습니다. 특히 유심 인증키(Ki)와 같은 핵심 정보가 암호화되지 않은 채 평문으로 저장되어 심각한 보안 문제를 드러냈습니다.
- 보안 취약점: 조사 결과, SKT는 여러 가지 보안 관리 소홀이 있었던 것으로 밝혀졌습니다.
- 접근 통제 미흡: 인터넷과 내부망 사이의 보안 운영 환경이 취약했습니다.
- 탐지 및 대응 부실: 침입탐지시스템에서 이상 로그가 확인되었음에도 불구하고 적절한 조치가 이루어지지 않았습니다.
- 개정 정보 관리 소홀: 다수의 서버 계정 정보가 암호화 없이 저장 및 관리되었습니다.
- 오래된 보안 취약점: 2016년에 이미 알려진 운영체제 보안 취약점(더티카우)에 대한 업데이트나 백신 설치가 미흡했습니다.
- 인증 시스템 허점: 가입자인증시스템(HSS)에서 비밀번호 입력 없이 개인정보 조회가 가능했습니다.
이번 처분의 의의
이번 SKT에 부과된 과징금은 이전 국내 기업의 최대 과징금(카카오 151억 원)과 글로벌 기업의 최대 과징금(구글 692억 원)을 뛰어넘는 역대 최대 규모입니다. 이는 개인정보 보호에 대한 정부의 강력한 의지를 보여주는 동시에, 대규모 개인정보를 다루는 기업들에게 개인정보 보호를 단순한 비용이 아닌 필수적인 투자로 인식하라는 메시지를 전달하고 있습니다.
다만 부당하게 이익을 취한 구글이 692억이나 나왔는데요. SK텔레콤은 피해가 없었음에도 이정도의 과징금이 나온 것은 이해하기 힘들다는 말도 있습니다.
개인정보보호위원회는 재발 방지를 위해 SKT에 시스템 전반에 걸친 점검, 안전조치 강화, 그리고 개인정보보호책임자(CPO)의 관리·감독 강화 등을 포함한 시정명령도 함께 내렸습니다.