SKT, 개인정보보호 ‘최악 오점’…역대 최대 1348억 과징금

| 한스경제=박정현 기자 | SK텔레콤이 지난 4월 발생한 유심(USIM) 정보 유출 사고로 역대 최대 규모의 과징금을 부과받았다. 개인정보보호위원회는 27일 전체회의에서 SK텔레콤의 개인정보보호법 위반을 인정하고 과징금 1347억9100만원, 과태료 960만원을 의결했다. 당초 최대 3500억원으로 거론됐던 예상액보다는 줄었지만 개인정보위가 부과한 과징금 가운데 가장 큰 액수다.

조사 결과 해커는 2021년 8월 SKT 내부망에 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월 통합고객인증시스템(ICAS)까지 장악했다. 이어 올해 4월 홈가입자서버(HSS) 데이터베이스(DB)에서 전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종, 9.82GB에 달하는 개인정보가 외부로 유출됐다. 피해 이용자는 알뜰폰 가입자를 포함한 2324만여 명에 달했다.

개인정보위는 SKT가 기본적인 보안 조치를 제대로 하지 않은 데다 관리에도 소홀했다고 봤다. 고학수 개인정보위 위원장은 “SKT의 개인정보보호 관리·감독은 꽤 오래 전반적으로 매우 허술한 상태를 유지하고 있었다. 회사가 관리를 잘못했다는 문제의식을 대부분의 위원들이 가졌다”며 “이동통신 서비스의 신뢰를 떨어뜨리고 사회적 불안감을 확산시키는 등 국민 생활에도 중대한 영향을 끼쳤다”고 말했다.

개인정보위 조사결과 SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 묶어 외부 접근을 사실상 무제한 허용했다. 침입탐지시스템의 이상 행위 로그조차 확인하지 않아 해커의 움직임을 걸러내지 못했다. 또 2022년 2월 해커가 홈가입자서버(HSS)에 접속한 정황을 포착했음에도 비정상 통신 여부나 추가 악성 프로그램 설치 여부를 점검하지 않았다. 접근권한 관리 역시 허술했다. 관리망 서버에는 2365개 서버의 계정정보 약 4899개가 암호 설정 없이 저장돼 있었고 HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있었다. 

보안 업데이트 미비도 치명적이었다. 해커가 활용한 ‘DirtyCow’ 취약점은 이미 2016년 보안 경보와 패치가 공개된 사안이었으나 SKT는 유출 당시까지도 이를 적용하지 않았다. 여기에다 유심 인증키 2600만여 건을 암호화하지 않고 평문으로 저장해 해커가 원본 그대로 확보, 유심 복제 등에 악용될 수 있는 길을 터줬다. 

개인정보보호책임자(CPO)의 역할을 IT 영역에만 한정해 실제 사고가 발생한 인프라 영역의 개인정보 처리 실태조차 관리·감독하지 못했다. 유출 사실 통지도 법정 기한인 72시간을 지키지 않았다. SKT는 5월 9일에야 ‘유출 가능성’을, 7월 28일에서야 ‘유출 확정’을 통보했다.

개보위는 SKT에 안전조치 강화와 CPO 거버넌스 개선을 시정 명령하며 대규모 개인정보 처리 사업자에 대한 관리·감독을 확대하겠다고 밝혔다. 고 위원장은 “개인정보 보호를 비용이 아닌 필수 투자로 인식해야 한다”고 강조했다.

SKT는 “이번 결과에 무거운 책임감을 느낀다”며 “개인정보 보호를 핵심 가치로 삼고 고객 정보 보호 강화를 위해 만전을 기하겠다”고 전했다. 

개인정보위는 SKT 해킹사태와 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.

고학수 개인정보위 위원장은 “일상에서 타인과 소통하는 중요한 창구가 핸드폰이고 그 출발점은 유심 정보다. 이렇게 매우 매우 중대한 유심 정보를 국민의 절반이 이용하는 통신사가 관리를 잘못해 유출했다”며 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산·인력의 투입을 비용 지출이 아닌 필수 투자로 인식하길 바란다”고 말했다.