[더파워 유연수 기자] 개인정보보호위원회는 지난 27일 열린 전체회의에서 SK텔레콤이 대규모 개인정보 유출 사고를 일으킨 데 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다고 28일 밝혔다. 이는 개인정보위 출범 이후 단일 사건 기준 최대 규모 제재다.
이번 사고로 SKT LTE·5G 전체 이용자 2324만여 명(알뜰폰 포함)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종 개인정보가 외부로 빠져나갔다. 유출 건수는 약 2696만건에 달한다. 개인정보위 조사에 따르면 해커는 2021년 8월 SKT 내부망에 침투해 서버 다수에 악성 프로그램을 설치했고, 올해 4월 홈가입자서버(HSS) DB에 저장된 9.82GB 분량의 개인정보를 유출했다.
개인정보위는 SKT가 인터넷망·관리망·사내망을 동일한 네트워크로 운영해 외부 접근을 막지 않았고, 침입탐지 로그를 확인하지 않는 등 기본적인 보안조치조차 소홀했다고 지적했다. 또 다수 서버 계정정보를 암호화 없이 보관했고, HSS에서는 비밀번호 입력 없이 개인정보 조회가 가능하도록 관리해 해커가 손쉽게 유출할 수 있도록 방치했다고 결론지었다.
특히 해커가 활용한 운영체제 보안 취약점(DirtyCow)은 이미 2016년 패치가 공개됐지만, SKT는 이를 적용하지 않았다. 유심 인증키 2061만여건을 암호화하지 않고 평문으로 저장해 유심 복제 악용 가능성까지 열어뒀다. SKT는 개인정보 유출 사실을 72시간 내 통지해야 하는 의무도 지키지 않았으며, 지난 7월에서야 ‘유출 확정’ 통보를 했다.
고학수 개인정보위원장은 “매우 중대한 성격의 정보가 유출됐음에도 관리가 부실했다”며 “대규모 개인정보 처리자는 관련 투자를 비용이 아닌 필수적 투자로 인식해야 한다”고 강조했다. 개인정보위는 SKT에 대해 개인정보 처리 현황 점검과 안전조치 강화, CPO 거버넌스 전반 개선을 명령했으며, 9월 초 추가 관리·감독 대책을 발표할 계획이다.
