개보위, SKT에 과징금 1348억원 ···SKT "의결서 검토후 대응"

| 스마트에프엔 = 양대규 기자 | 개인정보보호위원회(이하 개인정보위)는 개인정보보호 법규를 위반한 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 이는 2020년 개인정보위 출범 이후 가장 큰 과징금이다.

전날 열린 전체회의에서 개인정보위는 과징금·과태료와 함게 ▲개인정보보호책임자(CPO)의 실질적인 역할 보장 ▲위탁 관리·감독 철저 등을 포함한 3개월 내 재발방지 대책 수립·보고 ▲사고 발생 이동통신 네트워크·시스템에 대한 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 인증 취득 등의 내용을 담은 시정명령·개선권고를 내렸다.

개인정보위가 3개월 동안 집중조사 태스크포스(TF) 조사 결과에 따르면 이번 해킹사고로 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다.

SKT가 약 4년 동안 해커의 침투를 인지하지 못한 점도 문제가 됐다. 해커는 2021년 8월 SKT 내부망에 처음 침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후 해커는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.

SKT는 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했지만 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히했다. 이번 유출 사고를 사전에 방지할 기회를 놓쳤다는 것이다.

SKT는 2365개 서버의 ID와 비밀번호가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서는 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다. 가입자 인증과 이동통신 서비스 제공에 필수로 사용되는 인증정보인 유심 인증키 2614만4363건도 암호화하지 않고 평문으로 HSS DB 등에 저장했다.

결국 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출했다.

개인정보위는 SKT의 개인정보보호책임자(CPO) 역할이 부족하다고 지적했다. CPO가 이번 유출 사고가 발생한 개인정보 처리 실태조차 파악하지 못했다는 것이다. 개인정보 유출 통지 지연도 문제가 됐다. SKT는 올해 4월 19일 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인했다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SKT는 이행하지 않았다.

개인정보위는 SKT 해킹사태와 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.

고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"며 "데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계를 한 단계 강화하는 계기가 돼야 한다"고 말했다. 

SKT 측은 개인정보위 제재와 관련해 "이번 결과에 무거운 책임감을 갖고 있으며 모든 경영활동에서 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 말했다. 이어 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라며 "향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정할 예정"이라고 밝혔다.