'2천300만 개인정보 유출' SKT, 과징금 1천348억원…"역대 최대"

등록 2025.08.28 11:20:07 수정 2025.08.28 11:20:07
조성현 기자 j7001q0821@youthdaily.co.kr

보안 업데이트·백신 등 '무방비'…유심 인증키도 평문 저장
72시간 통지도 안 지켜…"개인정보 보호, 비용 아닌 투자"

 

【 청년일보 】 개인정보 유출 사태로 2천300만명 넘는 가입자의 정보가 털린 SK텔레콤(이하 SKT)에 개인정보보호위원회가 역대 최대 규모의 과징금을 부과했다.

 

개인정보위는 지난 27일 전체회의를 열고 개인정보보호법을 위반한 SKT에 과징금 1천347억9천100만원과 과태료 960만원을 부과했다고 28일 밝혔다. 이는 개인정보위가 2020년 출범한 이후 단일 사건으로는 가장 큰 과징금이다.

 

조사 결과, 이번 해킹으로 SKT LTE·5G 서비스 전체 가입자 2천324만4천649명의 개인정보가 유출됐다. 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 핵심 정보가 포함됐다. 휴대전화번호를 기준으로 한 유출 건수는 2천696만건에 달하지만, 법인·공공회선 등을 제외한 실제 이용자 수가 2천324만명으로 집계됐다.

 

해커는 2021년 8월 SKT 내부망에 침투해 다수 서버에 악성 프로그램을 설치했고, 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성 프로그램을 심어 거점을 넓혔다. 결국 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에서 9.82GB 분량의 개인정보를 외부로 유출했다.

 

개인정보위는 SKT가 '기본적인 보안조치조차 하지 않았다'고 지적했다. SKT는 인터넷망과 관리망, 사내망을 동일 네트워크로 운영하면서 외부 접근을 사실상 무제한 허용했다. 침입탐지 시스템의 이상 행위 로그도 제대로 확인하지 않았고, 2022년 2월 해커의 HSS 서버 접속 사실을 알면서도 비정상 통신이나 악성코드 설치 여부를 점검하지 않았다.

 

더구나 서버 계정정보 약 4천899개가 담긴 파일을 암호화도 하지 않은 채 보관했고, HSS에서는 비밀번호 입력 등 인증 절차 없이 개인정보 조회가 가능했다. 해커는 손쉽게 계정을 확보해 악성 프로그램을 설치하고 개인정보를 추출할 수 있었다.

 

보안 업데이트와 백신 설치도 소홀했다. 해커가 이용한 'DirtyCow' 취약점은 2016년 10월 경보가 발령되고 보안 패치가 공개된 문제였다. 그러나 SKT는 2016년 11월에도 해당 취약점이 있는 운영체제를 사용했고, 유출이 발생한 올해 4월까지도 패치를 하지 않았다. 백신 프로그램 역시 설치하지 않아 악성 행위 탐지를 놓쳤다.

 

특히 이동통신 서비스 핵심 인증값인 유심 인증키 2천61만여건을 암호화하지 않고 평문으로 DB에 저장했다. 이로 인해 해커가 유심 복제에 활용할 수 있는 원본 데이터를 그대로 확보했다.

 

유출 사고 후 대응도 미흡했다. 개인정보보호법은 개인정보가 유출된 사실을 72시간 내 이용자에게 통지하도록 규정하지만 SKT는 이를 어겼다. 개인정보위가 5월 2일 즉시 통지하도록 명령했지만, SKT는 5월 9일 '유출 가능성'만 알렸고 7월 28일이 돼서야 '유출 확정'을 통지했다.

 

사내 개인정보보호책임자(CPO)의 권한도 제한적이었다. CPO가 IT 영역만 담당하면서 실제 개인정보가 저장·처리된 인프라 영역의 관리가 사실상 방치돼 있었다.

 

개인정보위는 SKT에 과징금·과태료 부과와 함께 개인정보 관리 전반의 체계 개선을 명령했다. 특히 CPO가 회사 전체 개인정보 처리 업무를 총괄할 수 있도록 거버넌스를 정비하고, 이동통신 서비스 전반에 걸쳐 안전조치를 강화할 것을 요구했다.

 

고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"고 강조했다.

 

SKT는 개인정보위 제재와 관련해 "이번 결과에 무거운 책임감을 느끼며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔다.
 


【 청년일보=조성현 기자 】




저작권자 © 청년일보 무단전재 및 재배포 금지




서울특별시 영등포구 선유로49길 23, 415호 (양평동4가, 아이에스비즈타워2차) 대표전화 : 02-2068-8800 l 팩스 : 02-2068-8778 l 법인명 : (주)팩트미디어(청년일보) l 제호 : 청년일보 l 등록번호 : 서울 아 04706 l 등록일 : 2014-06-24 l 발행일 : 2014-06-24 | 편집국장 : 성기환 | 고문 : 고준호ㆍ오훈택ㆍ고봉중 | 편집·발행인 : 김양규 청년일보 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다. Copyright © 2019 청년일보. All rights reserved. mail to admin@youthdaily.co.kr