- 2,300만 명 이상 유출 피해 심각…암호화 미실시·접근통제 부실 등 총체적 보안 실패 드러나
- CPO 역할 확장 및 전사적 보안 강화 명령, 9월 중 개인정보 보호 강화 종합대책 발표 예정
SK텔레콤이 2,300만 명 이상 가입자의 개인정보를 대규모로 유출한 사실이 드러나면서 역대 최대 과징금을 부과받았다.
개인정보보호위원회는 27일 안전조치 의무 위반과 유출 통지 지연 등을 이유로 SK텔레콤에 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과했다고 밝혔다. 이는 개인정보위 출범 이후 단일 사건으로는 최대 규모의 제재다.
이번 유출은 지난 4월 해커가 SK텔레콤의 주요 네트워크와 시스템에 침투하면서 발생했다. LTE·5G 서비스 이용자 약 2,300만 명의 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 민감한 개인정보가 유출됐다. 특히 유심 인증키가 암호화되지 않은 상태로 저장돼 있어, 유심 복제나 도용 같은 2차 피해로 이어질 수 있다는 우려가 제기되고 있다.
조사 결과 SK텔레콤은 인터넷망과 내부망을 분리하지 않고 동일 네트워크로 운영했으며, 접근통제와 서버 계정 관리가 허술했다. 또 보안 업데이트 미실시, 백신 미설치 등 기본적 보안조치도 이행하지 않았던 것으로 드러났다. 더불어 개인정보 유출 사실을 인지한 뒤에도 법정 기한 내에 이용자에게 통지하지 않아 신뢰를 저버렸다는 비판이 제기된다.
개인정보위는 SK텔레콤에 전산망 전반의 즉각적인 안전조치 강화와 개인정보보호책임자(CPO) 권한 확대, 위탁업체 관리·감독 강화 등을 명령했다. 또한 이번 사고와 관련된 통신망에 대해 3개월 내 정보보호관리체계(ISMS-P) 인증을 반드시 취득하도록 조치했다.
개인정보위는 이번 사태를 계기로 ‘개인정보 안전관리체계 강화 종합대책’을 9월 초 발표할 계획이다. 고학수 개인정보위 위원장은 “대규모 개인정보를 보유한 기업은 보안을 단순한 비용이 아닌 필수 투자로 인식해야 한다”며 “CPO의 권한과 전담 조직의 역할을 강화하는 것이 재발 방지를 위한 핵심”이라고 강조했다.
이번 SK텔레콤 사태는 기업의 보안 부실이 국민 생활에 직결된 피해로 이어질 수 있음을 보여주는 대표적 사례다. 전문가들은 이번 조치가 기업의 개인정보보호 책임을 강화하고, 정부의 관리·감독 정책 전환의 계기가 될 것으로 보고 있다.
