2300만명 정보 새나갔다…SKT '역대 최대' 1348억 과징금

[프라임경제] 개인정보보호위원회가 SK텔레콤(017670)에 역대 최대 규모의 과징금을 부과했다. 2300만명에 달하는 가입자의 유심 인증키 등 핵심 개인정보가 대규모로 유출된 데다, 통지 지연까지 겹치면서 과징금 1347억9100만원과 과태료 960만원이 확정됐다. 

이에 일각에서는 이번 사건이 개인정보 보호제도의 분수령이 될 것이라면서도 피해 복구 노력 반영과 제도적 보완이 필요하다고 지적했다.

고학수 개인정보보호위원회 위원장. ⓒ 개인정보보보호위원회

28일 개인정보보호위원회(이하 개인정보위)는 전날 제18회 전체회의를 열고 SK텔레콤(이하 SKT)의 개인정보보호법 위반 행위에 대해 이 같은 제재를 의결했다고 밝혔다.

이번 사건은 SKT의 관리 소홀로 LTE·5G 서비스 전 이용자 2324만4649명의 △휴대전화번호 △가입자식별번호(IMSI) △유심 인증키(Ki·OPc) 등 총 25종 개인정보가 해킹을 통해 유출된 것이 핵심이다. 단순 유출 규모만 약 2696만건에 달한다.

조사 결과, 해커는 지난 2021년 8월 SKT 내부망에 침투해 다수 서버에 악성 프로그램을 설치했고, 2022년 6월에는 통합고객인증시스템(ICAS)까지 장악했다. 이후 2025년 4월 18일 홈가입자서버(HSS) 데이터베이스에 저장된 약 9.82GB 분량의 개인정보를 외부로 반출한 것으로 드러났다.

◆방화벽 뚫리고 유심키 평문 저장…기본 보안조치 소홀

개인정보위는 이 과정에서 SKT의 기본적인 보안 관리 부실을 적시했다. △방화벽·침입탐지시스템 미흡 △관리망과 코어망 간 불필요한 접속 허용 △평문으로 저장된 4899개 계정정보(ID·PW) △보안패치 미적용(DirtyCow 취약점 방치) △유심 인증키 2600만여건 암호화 미실시 등이 대표적이다. 

악성프로그램 감염 및 개인정보 유출 경위. ⓒ 개인정보보호위원회

특히 LG유플러스(2011년, 032640), KT(2014년, 030200) 등이 이미 유심 인증키 암호화를 시행했음에도 SKT는 이를 적용하지 않아 피해를 키웠다는 지적이다.

또한 SKT는 지난 4월19일 유출 사실을 인지하고도 법령상 72시간 내 이용자 통지를 하지 않았다. 개인정보위가 5월2일 긴급 통지를 의결했지만, SKT는 5월9일 '가능성'만 통지했고, 실제 '확정' 통지는 7월28일에야 이뤄졌다.

◆개인정보보호법 개정 후 첫 '매출 3% 과징금' 적용 사례

이번 과징금은 개인정보보호법 개정으로 도입된 '매출액의 최대 3%' 산정 기준이 처음 적용된 사례다. 

이에 대해 김도승 개인정보보호법학회 회장(전북대 로스쿨 교수)은 "이번 SKT 사건은 우리나라 개인정보 보호 역사에서 전례 없는 규모의 유출로, 특히 IMSI와 같은 가입자식별번호는 단순한 기술적 코드가 아니라 다른 정보와 결합할 경우 개인을 손쉽게 특정할 수 있는 핵심 데이터"라며 "그 자체로 개인정보에 해당하기 때문에 유출의 중대성이 크다"고 평가했다.

김 회장은 이번 제재의 법적 의미에 대해서도 설명했다. 그는 "과징금이 이전보다 크게 늘어난 것은 매출 3% 상한 규정을 적용한 자연스러운 결과"라면서도 "산정 과정에서 위반 기간, 과거 위반 이력, 피해 복구 노력 등 가중·감경 요소가 어떻게 반영됐는지 면밀히 살펴봐야 한다"고 말했다.

특히 피해 복구와 사회적 수용성 측면에서는 아쉬움이 남는다고 지적했다. 김 회장은 "SKT가 개인정보를 불법적으로 이용해 이익을 취한 것이 아니라 외부 해킹으로 피해가 발생한 상황에서, 복구 노력은 현재도 진행 중"이라며 "충분한 숙의 없이 수천억 원대 과징금이 단기간에 확정된 것은 제도의 설득력을 약화시킬 수 있다"고 강조했다.

그는 또 "AI 대전환 시대에 데이터 활용은 국가 경쟁력의 핵심인데, 시장이 단순히 '규제가 강화됐다'는 신호로 받아들일 경우 부작용이 우려된다"며 "향후에는 피해 회복 노력이 실질적으로 반영될 수 있도록 과징금 산정 절차를 정교화하고, 데이터 활용과 보호의 균형을 고려하는 제도적 보완이 필요하다"고 제언했다.

고학수 개인정보위 위원장은 "이번 사건은 단순히 특정 기업에 대한 제재가 아니라 대규모 개인정보 처리자의 관리 책임을 일깨우는 계기"라며 "개인정보 보호 투자를 비용이 아닌 필수적 경영 과제로 인식해야 한다"고 강조했다.