【투데이신문 최주원 기자】 SK텔레콤이 대규모 개인정보 유출 사고와 관련해 개인정보보호위원회(이하 개인정보위)로부터 사상 최대 규모의 제재를 받았다.

28일 개인정보보호위원회는 SK텔레콤에 대해 1347억9100만원의 과징금과 960만원의 과태료를 부과하고 전사적 시스템 점검 및 개인정보 보호조치 강화를 명령했다고 발표했다.

4년간 잠복하며 핵심 서버 침투한 해커

사건은 지난 4월 22일 SK텔레콤이 자사 시스템의 비정상적 외부 전송을 감지하고 개인정보 유출을 신고하면서 시작됐다. 개인정보위와 한국인터넷진흥원(KISA) 합동조사 결과 해커는 2021년부터 SK텔레콤 내부망에 장기 침투해 다수 서버에 악성 프로그램을 심었고 올해 4월 이동통신 핵심 서버인 HSS(Home Subscriber Server)에서 약 9.82GB의 이용자 정보를 빼냈다.

유출된 정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종에 달한다. 피해자는 알뜰폰 이용자 포함 2324만4649명이다. 특히 유심 인증키는 복제 위험이 높아 금융·본인확인·공공서비스 등 광범위한 2차 피해 우려를 낳고 있다.

9년간 방치된 보안 취약점, 평문 저장까지

개인정보위의 보안 체계 조사 결과에 따르면 SK텔레콤은 인터넷망과 관리망, 코어망, 사내망을 물리적으로 분리하지 않고 동일 네트워크에 연결한 채 인터넷망에서 내부 서버 접근을 무제한 허용했다. 관리망 서버에는 수천 개의 계정정보가 암호화 없이 저장돼 있었다.

특히 2016년 보안 패치가 나온 운영체제 취약점을 9년간 방치한 사실도 드러났다. 해당 취약점은 주요 백신 프로그램에서 수년 전부터 탐지 가능했지만, SK텔레콤은 백신 설치나 대체 보안 조치를 하지 않은 것으로 나타났다.

유심 인증키 2614만여 건을 평문으로 저장한 사실도 문제가 됐다. LG유플러스와 KT가 각각 2011년, 2014년부터 이 정보를 암호화해 저장해온 것과는 대조적이다.

법정 통지 기한 어기고 3개월 만에 뒤늦은 고지

SK텔레콤은 4월 19일 유출 사실을 파악했으나 72시간 내 이용자 통지 의무를 이행하지 않았다. 개인정보위가 5월 2일 긴급 의결로 통지를 지시한 뒤에야 5월 9일 ‘유출 가능성’을 알렸고 ‘유출 확정’ 통지는 3개월여 뒤인 7월 28일에야 이뤄졌다.

개인정보 보호책임자(CPO) 제도 운영 역시 형식적이었다. CPO의 관리 범위를 웹·앱 서비스로 제한해 실제 유출이 발생한 통신 인프라는 관리 대상에서 제외됐다.

“1위 통신사 책임 무거워”…감독 강화 예고

개인정보위는 국내 1위 이동통신사업자가 기본적 안전조치 의무를 이행하지 않았다며 중징계를 내렸다. SK텔레콤에 전사적 시스템 점검과 개인정보 보호 거버넌스 재정비, ISMS-P 인증 범위의 네트워크 시스템 전체 확대 등을 명령했다.

개인정보위 고학수 위원장은 “대규모 개인정보 처리 기업이 보안을 비용이 아닌 투자로 인식해야 한다”며 “9월 초 대규모 개인정보 보유 기업 대상 관리·감독 강화 방안을 발표하겠다”고 말했다.

SK텔레콤 “충분히 소명했으나 반영 안 돼 유감”

SK텔레콤은 재발 방지 의지를 밝히면서도 이번 처분에 대해서는 아쉬움을 나타냈다. 회사 관계자는 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했으나 결과에 반영되지 않아 유감”이라며 “향후 의결서를 수령한 후 내용을 면밀히 검토해 입장을 정하겠다”고 언급했다.

이어 “모든 경영활동에서 개인정보 보호를 핵심 가치로 삼고 고객 정보보호 강화에 만전을 기하겠다”고 덧붙였다.