악성 프로그램 감염및 개인정보 유출 경위 설명도(개인정보보호위)
더트래커 = 김상년 기자
개인정보보호위원회는 27일 전체회의를 열고 최악의 해킹사고로 이용자 2300만여명의 개인정보를 털린 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 각각 부과하기로 결정했다고 28일 밝혔다.
과징금 규모는 개인정보위가 출범한 2020년 이후 단일 사건에 부과한 역대 최대 규모 과징금이다. 이번 사건 이전 최대 과징금 사례는 2022년 이용자 정보를 수집해 맞춤형 광고에 사용해 제재를 받은 구글(692억원)과 메타(308억원)로, 과징금이 총 1000억원이었다.
개인정보위는 SKT의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했으며 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 '매우 중대한 위반행위'로 판단했다고 설명했다. 다만 위반행위를 시정하고 피해 회복을 위해 노력한 점 등을 고려해 일부 감경했다.
위원회는 “SKT는 인터넷과 관리망, 사내망 등을 모두 같은 네트워크로 연결해 운영하면서 외부에서 SKT 내부 관리망 서버에 접근하는 것을 막지 않았다”고 과징금 부과 이유를 밝혔다. “관리망 서버는 이번 유출 사고가 발생한 HSS와 상호 접속이 불필요함에도 이를 허용해 해커가 HSS까지 접속할 수 있게 됐다”는 지적이다.
위원회는 또 2022년 2월 해커가 HSS에 접속한 사실을 확인했음에도 SKT가 비정상 통신 여부나 악성 프로그램 설치 여부 등을 확인하지 않은 점도 지적했다.
위원회는 “다수 서버의 아이디나 비밀번호가 저장된 파일도 암호 설정 없이 저장·관리했고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 설정해 뒀다”며 “해커가 계정 정보를 쉽게 획득해 관리망 서버에 악성 프로그램을 설치할 수 있었고, HSS에서도 개인정보를 유출할 수 있었던 것”이라고 했다.
보안 취약점이 발견돼 2016년 업데이트가 공개된 운영 체제도 유출 당시까지 업데이트하지 않았고, 유심 인증키 2614만건을 암호화하지 않고 그대로 저장해 둔 점도 지적했다.
이에 위원회는 안전 조치 의무를 소홀히 해 개인정보가 유출된 것에 대해 과징금 1347억9100만원을 부과하고, 유출 통지 지연 행위에 대해선 과태료 960만원을 부과하기로 했다.
또 전반적인 개인정보 처리 현황을 면밀히 파악해 안전 조치를 강화하고, 개인정보 보호 책임자가 회사 전반의 개인정보 처리 업무를 총괄하도록 시정 명령도 내렸다. 위원회는 “회사 시스템 전반의 개인정보 안전성 확보 조치 수준을 높이도록 개선하라”고 권고했다.
위원회는 유사 사례가 발생하지 않도록 개인정보 안전 관리 체계 강화 방안을 마련해 9월 초 발표할 예정이다.
이번 사건은 지난 4월 18일 SK텔레콤의 핵심 인증 서버(HSS)에 침투한 해커가 가입자 정보를 빼내면서 불거졌다. 이 과정에서 유심(USIM) 관련 인증정보(IMSI 등)와 가입자 식별 정보가 외부로 빠져나간 정황이 확인됐다.
SK텔레콤은 4월 22일 개인정보보호위원회와 과학기술정보통신부에 이를 신고했고, 이후 전체 가입자 2564만 명(알뜰폰 이용자 포함)을 대상으로 유출 사실을 통지했다.
조사 결과, SK텔레콤 이용자 2324만여 명의 정보가 유출된 것으로 확인됐다. 유출된 개인정보는 25종 항목에 걸쳐 약 2700만 건 규모로 추정됐다. 피해 범위가 단일 사건 기준으로 국내 최대 규모에 해당했다.