[비즈니스포스트] SK텔레콤이 개인정보 유출 사고와 관련해 개인정보보호위원회로부터 1300억 원대 과징금을 부과받았다.

개인정보보보위원회는 27일 제18회 전체회의를 열어 개인정보 보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만 원과 과태료 960만 원을 부과하고 전반적 시스템 전검 및 안전조치 강화, 전사적 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치안을 의결했다고 28일 밝혔다.

개인정보위는 SK텔레콤의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과 이번 사고가 SK텔레콤의 기본적 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 확인했다.

주요 위반 사항은 △안전조치 의무 위반(접근통제조치 소홀, 접근권한 관리 소홀, 보안 업데이트 미조치, 유심 인증키를 암호화하지 않고 평문으로 저장) △개인정보 보호책임자 지정 및 업무 수행 소홀 △개인정보 유출통지 지연 등이다.

이에 개인정보위는 SK텔레콤이 국내 1위 이동통신사업자로서 안전조치의무를 소홀히 하여 유심정보를 비롯한 개인정보가 유출된 행위에 대해 과징금 1347억9100만 원을 부과했다.

정보 주체에 대한 유출 통지를 지연하여 신속한 피해 확산방지를 소홀히 한 행위에 대해 과태료 960만 원을 부과하기로 결정했다.

유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정 명령했다. 

현재 T월드 등 일부 고객관리시스템에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대하여 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고했다.

앞서 개인정보위는 지난 4월22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고를 하자 조사에 들어갔다.

개인정보위는 사건의 중대성을 고려해 신고 당일 한국인터넷진흥원과 함께 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했다.

TF 조사 결과, SK텔레콤에서 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출된 것으로 확인됐다.

해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치하였으며, 2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치하여 추가 거점을 확보했다. 이후 2025년 4월18일 홈가입자서버(HSS) 데이터베이스에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출했다. 

개인정보위는 유사 사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표키로 했다.

고학수 개인정보보호위원회 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적 투자로 인식하길 바란다”며 “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다. 조승리 기자