[미디어스=고성욱 기자] SK텔레콤(이하 SKT)이 개인정보보호위원회의 1348억 원 과징금 결정에 대해 "입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라고 밝혔다. 

개인정보위는 이번 해킹 사태로 이용자 2,300만 명의 개인정보가 유출됐으며 SKT는 기본적인 안전조치 의무를 지키지 않았다고 지적했다. 28일 개인정보위는 전날 전체회의에서 SKT에 대해 과징금 1,347억 9,100만원과 과태료 960만원을 부과하고, 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 체계 정비 등 재발 방지를 위한 시정조치(안)을 의결했다고 밝혔다. 

같은 날 SKT는 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것”이라면서도 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라고 했다. SKT는 “향후 의결서 수령 후에 내용을 면밀히 검토해 입장 정할 예정”이라고 덧붙였다.

개인정보위에 따르면 이번 해킹 사태로 인해 SKT 이용자 23,244,649명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 유출된 것으로 확인됐다. 개인정보위는 “이번 사고는 SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것”이라면서 ▲접근통제조치 소홀 ▲접근권한 관리 소홀 ▲보안 업데이트 미조치 ▲유심 인증키 미 암호화 ▲개인정보 보호책임자 지정 및 업무 수행 소홀 등이 확인됐다고 지적했다. 

SKT는 인터넷과 내부망 사이 보안을 해커의 불법적인 침입에 취약한 상태로 운영해 왔다. 특히 SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않으며 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다. 

SKT는 이미 지난 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했으나, 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다. 이번 해킹 사태를 사전에 방지할 수도 있었다는 것이다.

SKT는 보안 업데이트도 실시하지 않았다. 개인정보위는 “이번 사고에서 해커가 악성프로그램 설치에 활용한 운영체제 보안 취약점은 2016년 10월 이미 보안 패치가 공개된 사항”이라면서 “SKT는 이를 인지하고 있었음에도, 2025년 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다”고 지적했다.

SKT는 타사가 이미 최소 10년 전(LGU+ 2011년, KT 2014년 실시) 에 실시한 유심 인증키도 암호화하지 않았다. 이로 인해 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다. 

또 SKT는 개인정보 유출 사실을 이용자에게 뒤늦게 알렸다. SKT는 지난 4월 19일 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인하며 개인정보 유출 사실을 인지했지만 5월 9일에서야 유출 “가능성”에 대해 통지를 실시하고, 7월 28일에야 “유출 확정”을 통지했다. 개인정보보호법에 따르면 개인정보 유출 사실을 안 후 72시간 이내에 개인정보위에 관련 신고를 해야 한다. 

개인정보위는 이같은 조사 결과를 토대로 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 다음 달 초 발표할 예정이다.

고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바라며, 나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.

☞ 네이버 뉴스스탠드에서 ‘미디어스’를 만나보세요~ 구독하기 클릭!