SKT, 개인정보 유출 1348억원 과징금 폭탄 받아
- SKT, 1천347억9천100만원 과징금과 960만원의 과태료 부과
- 4월 SKT 코어·관리망 침투, 총 2,324만4,649명 유출
개인정보보호위원회가 사상 최대 규모의 이동통신 개인정보 유출사고와 관련해 SKT에 1천347억9천100만원의 과징금과 960만원의 과태료를 부과했다.
개인정보위는 27일 제18회 전체회의에서 SKT의 개인정보 보호법 위반 행위에 대한 제재처분을 의결하고, 유심(USIM) 정보 유출 재발 방지를 위해 전사적 안전관리 대책 수립을 명령했다.
2,300만 명 개인정보 유출…“핵심 인증키도 빠져나가”
개인정보위 조사 결과, 해커는 지난 4월 SKT의 코어망·관리망을 침투해 LTE·5G 가입자를 포함한 총 2,324만4,649명의 개인정보를 유출한 것으로 확인됐다.
유출된 정보에는 휴대전화 번호, 가입자 식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종이 포함됐다. 특히 유심 인증키가 대규모로 빠져나가 유심 복제와 통신망 보안에 대한 사회적 불안이 확산됐다.
개인정보위는 “핵심 네트워크 관리 소홀과 취약한 보안 조치가 이번 사태를 초래했다”며 “국민 생활 전반의 신뢰에 심각한 타격을 준 중대한 사고”라고 평가했다.
방화벽 설정 미흡·계정정보 무방비 보관 등 총체적 부실
집중조사 태스크포스(TF)에 따르면 SKT는 인터넷망과 내부 관리망을 사실상 구분 없이 운영하면서 외부 침입에 취약한 상태였다.
또한 △수천 개의 서버 계정(ID·비밀번호) 정보를 암호화 없이 저장 △운영체제 취약점 방치 △백신 프로그램 미설치 △유심 인증키 평문 저장 등 다수의 법령 위반 사실이 드러났다.
특히 SKT는 2016년 발견된 보안취약점 ‘DirtyCow’를 9년 넘게 패치하지 않는 등 기본적인 보안 관리에도 소홀했던 것으로 확인됐다.
유출 인지하고도 ‘통지’ 늦어…사회적 혼란 가중
추가 조사에서는 SKT의 피해자 통지 지연도 문제가 됐다. SKT는 지난 4월 19일 DB 외부 전송 사실을 확인하고도, 법령에서 규정한 72시간 내 이용자에게 알리지 않았다.
이후 개인정보위의 긴급 의결(5월 2일) 이후에야 “유출 가능성”을 통지했고, 최종적으로는 7월 말에야 유출 확정 사실을 알렸다.
개인정보위 관계자는 “신속히 대응해 피해 확산을 차단할 최소한의 의무조차 지키지 않았다”고 지적했다.
시정명령·인증 확대로 “재발 방지” 압박
이번 처분과 함께 개인정보위는 SKT에 대해 △3개월 내 전사적 재발 방지 대책 수립 △CPO(개인정보보호책임자) 권한·역할 강화 △통신망·네트워크 영역 전체 ISMS-P 인증 획득 등을 명령했다.
또한 일부 시스템에 국한됐던 개인정보보호 관리 인증을 핵심 네트워크까지 확장하도록 권고했다.
역대 최대 제재…“개인정보 보호 중요성 각인 계기”
개인정보위는 이번 제재를 단순한 기업 처벌에 그치지 않고 “국내 대규모 개인정보 처리자 전반에 대한 경종”으로 평가했다.
고학수 위원장은 “기업들이 개인정보 보호를 비용이 아닌 필수적 투자로 인식해야 한다”며 “이번 사건을 계기로 데이터 경제 시대에 맞는 보안 체계를 강화해 나가야 한다”고 강조했다.
개인정보위는 내달 초 대규모 개인정보 처리자의 보안 투자를 유도할 “개인정보 안전관리체계 강화 종합대책”을 별도로 발표할 계획이다.
Related Materials
CheifEditor
CheifEditor
CheifEditor
