|
개인정보보호위원회는 지난 4월 22일 SK텔레콤(SKT)이 비정상적인 데이터 외부 전송 사실을 인지하고 유출 신고를 해옴에 따라 즉각 조사에 착수했다고 27일 밝혔다. 개인정보위는 사건의 중대성을 고려해 신고 당일 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성, 유출 경위와 개인정보보호법 위반 여부를 집중적으로 조사했다.
TF 조사 결과, SKT의 LTE·5G 전체 가입자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 해킹을 통해 유출된 것으로 확인됐다.
개인정보위는 이번 사고가 SKT의 기본적인 보안 조치 미비와 관리 소홀에서 비롯됐다고 판단했다. 특히 2022년 2월 해커의 홈가입자서버(HSS) 접속 사실을 확인하고도 비정상 통신 여부나 악성프로그램 설치 여부, 접근통제 정책의 적절성을 점검하지 않아 사전에 유출을 막을 기회를 놓쳤다고 지적했다.
또한 SKT가 약 2365개 서버 계정정보(ID·비밀번호 약 4899개)를 암호화 없이 관리망 서버에 저장했고, HSS에서는 비밀번호 입력 등 인증 절차 없이도 개인정보 조회가 가능하도록 운영해 보안 취약점을 키웠다고 밝혔다.
더불어 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점 ‘DirtyCow’는 이미 2016년 10월 보안 경보와 패치가 공개된 사항이었지만, SKT는 이를 인지하고도 11월 해당 OS를 설치한 뒤 올해 4월 유출 시점까지 보안 업데이트를 실시하지 않았던 것으로 드러났다.
아울러 SKT는 이동통신 서비스 제공에 필수적인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고 HSS DB 등에 평문으로 저장해, 해커가 원본 그대로를 확보할 수 있게 했다. 개인정보위는 특히 2022년 유심 복제 위험이 언론에 제기된 이후 타 통신사가 인증키를 암호화해 관리하고 있음을 확인하고도 SKT가 이를 시행하지 않았다는 점을 중대한 관리 소홀로 지적했다.
개인정보위는 SKT에 대해 전사적 개인정보 거버넌스 체계 정비, CPO(개인정보보호책임자)의 실질적 역할 강화, 사고 발생 시스템의 ISMS-P 인증 확대 등을 포함한 시정명령을 내렸다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바라며, 나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.
SK텔레콤은 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것”이라며 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 아쉽다. 향후 의결서 수령 후에 내용을 면밀히 검토하여 입장 정할 예정”이라고 밝혔다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
