최악의 해킹 사고로 전체 이용자 2300만여 명의 개인정보가 유출된 SK텔레콤에 대해 개인정보보호위원회가 역대 최대 규모의 과징금 1348억원을 부과했다.
개인정보위는 지난 27일 전체회의를 열고 개인정보보호 법규를 위반한 SK텔레콤에 과징금 1347억9100만 원과 과태료 960만 원을 각각 부과했다고 28일 밝혔다.
과징금 액수는 개인정보위가 2020년 출범한 이후 내린 처분 가운데 가장 크다.
개인정보위가 'SK텔레콤 개인정보 유출사고' 제재 처분을 의결하면서 밝힌 주요 내용 등을 Q&A 형식으로 정리했다.
Q1. 어떤 정보가 유출됐나?
조사 결과 유출된 개인정보는 모두 25종에 달한다.
이름, 생년월일, 주소, 이메일과 같은 기본 가입자 정보는 물론, 휴대전화번호, 가입자식별번호(IMSI), 단말기식별번호(IMEI) 등 개인을 특정할 수 있는 식별 정보도 포함됐다. 특히 이동통신망 접속과 본인 인증 과정에서 핵심적으로 사용되는 유심(USIM) 인증키(Ki)와 OPc 값도 함께 유출됐다.
Ki는 단말기와 네트워크 간 상호 인증을 위해 사용되는 주요 값이며, OPc는 Ki와 결합해 인증 절차의 유효성을 검증하는 보조 암호화 파라미터다. 이 밖에도 가입자 상태, 가입 상품, 단말기 모델명, USIM 일련번호, 기기 접속 로그 등 서비스 이용과 관련된 다양한 정보가 포함됐다.
이러한 정보는 단순한 연락처 수준을 넘어 이동통신 보안 전반에 영향을 미칠 수 있다. 특히 유심 인증키와 IMSI 값은 복제폰 제작에 악용될 수 있어 통신 서비스 자체가 위협받을 가능성이 제기된다.
휴대전화 번호가 각종 본인 인증 수단으로 사용되는 만큼, 금융 서비스나 온라인 인증 체계에서도 연쇄적인 보안 우려가 뒤따른다. 일부 데이터는 싱가포르를 경유한 흔적이 확인돼 해외 유출 가능성도 제기됐으며, 수사당국이 후속 조사를 진행하고 있다.
Q2. 피해 규모는 어느 정도인가?
휴대전화번호와 가입자식별번호(IMSI)를 기준으로 집계된 유출 규모는 약 2696만 건에 달한다. 그러나 법인·공공기관 회선과 다회선 등을 제외하고 실제 이용자 수를 산정한 결과, 피해자는 2324만4649명으로 집계됐다. 여기에 SK텔레콤 직접 가입자뿐 아니라 SKT 망을 이용하는 알뜰폰 이용자도 포함돼 있다.
이는 한국 인구의 절반 가까이에 해당하는 규모로, 특정 계층이나 일부 고객이 아니라 사실상 대부분의 LTE·5G 이용자가 피해를 본 셈이다.
Q4. 구체적으로 어떻게 유출됐나?
개인정보위에 따르면 해커는 2021년 8월 SK텔레콤 관리망 서버에 원격조종 프로그램을 심으며 내부에 침투했다. 이 과정에서 암호화되지 않은 서버 계정정보(ID와 비밀번호 약 4899개)를 확보해 코어망까지 접근했다.
이어 '더티카우(DirtyCow)'라고 불리는 오래된 보안 허점을 이용해 관리자 권한을 획득했는데, 이 취약점은 2016년 이미 알려져 있었지만 해당 서버에는 보안 패치가 적용되지 않았다.
해커는 이렇게 확보한 권한으로 홈가입자 서버(HSS)에 'BPFDoor'라는 악성 프로그램을 설치했다. 이 프로그램은 겉으로는 흔적을 거의 남기지 않으면서도 외부에서 서버를 몰래 조종할 수 있게 한다.
2022년 6월에는 통합고객인증시스템(ICAS) 서버에도 추가로 침투해 동일한 방식으로 거점을 확보했다. ICAS는 가입자 상태와 상품 정보를 조회하는 시스템으로, 고객의 이름, 생년월일, 주소, 이메일 등이 임시 저장돼 있었다.
마지막으로 2025년 4월 18일, 해커는 이미 심어둔 악성 프로그램을 이용해 홈가입자 서버를 원격으로 제어하고 9.82GB에 달하는 개인정보를 외부로 유출했다.
특히 SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 파악했음에도 추가 점검을 하지 않아 사전에 막을 기회를 놓친 것으로 확인됐다.
Q5. SK텔레콤이 소홀히 한 보안의무는?
조사 결과 SK텔레콤은 기본적인 보안 의무를 다하지 않은 것으로 드러났다.
인터넷망과 내부 관리망을 사실상 구분하지 않아 외부에서 핵심 서버까지 접근이 가능했고, 서버 수천 대의 계정(ID와 비밀번호)을 암호화하지 않고 저장해 해커가 쉽게 탈취할 수 있었다.
이미 알려진 보안 취약점에 대한 패치와 백신 설치도 수년간 미뤄져 악성 프로그램을 탐지하지 못했다.
특히 통신망 인증에 필요한 유심(USIM) 인증키 2600만 건 이상을 암호화하지 않고 평문 그대로 저장해, 해커가 원본 값을 확보할 수 있게 했다.
다른 통신사들이 10년 전부터 암호화를 적용한 것과 대비되는 대목이다.
또한 개인정보보호책임자(CPO)의 역할이 'IT 영역'에 한정돼 있어, 유출 사고가 발생한 '네트워크 인프라 영역'은 관리 사각지대에 놓여 있었다.
Q6. 정부는 어떤 제재를 내렸나? 향후 전망은?
개인정보보호위원회는 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과했다.
과징금은 SK텔레콤의 전체 이동통신 매출액을 기준으로 산정됐으며, 다수의 안전조치 의무 위반이 직접적인 원인이 됐다는 점을 고려해 역대 최대 규모로 책정됐다. 다만 회사가 시정 조치를 진행 중이라는 점은 일부 감경 사유로 반영됐다.
과태료는 과징금에 비해 미미한 수준이다. 과징금은 대규모 피해를 야기한 관리 소홀에 대한 경제적 제재 성격이 강하고, 과태료는 72시간 내 통지를 이행하지 않은 절차 위반에 따른 행정벌이라 액수 차이가 크다.
개인정보위는 SK텔레콤에 향후 3개월 내 재발 방지 대책을 마련해 보고하도록 했으며, CPO가 네트워크와 인프라 영역까지 관리할 수 있도록 거버넌스를 정비하라고 명령했다.
개인정보위는 이번 사건과 관련해 "매우 중대한 성격의 정보 유출"로 규정하고 "위원회가 할 수 있는 최대한의 역량을 투입했다"고 강조했다.
아울러 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.
고학수 개인정보위 위원장은 이와 관련해 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바라며, 나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다"고 말했다.
Q. 제재 처분에 대한 SK텔레콤 입장은?
SK텔레콤은 개인정보위의 제재 처분 직후 "무거운 책임감을 갖고 재발 방지에 만전을 기하겠다"고 밝혔다.
또한 "모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객 정보보호 강화를 위해 최선을 다하겠다"면서도, 조사 및 의결 과정에서 자사 입장이 충분히 반영되지 않았다며 아쉬움을 드러냈다.
SK텔레콤은 "의결서를 받은 뒤 내용을 면밀히 검토해 입장을 정할 예정"이라며 향후 행정소송 가능성도 시사했다.
SK텔레콤에게 이번에 부과된 과징금 약 1348억원은 고객 동의 없이 정보를 수집해 약 692억원의 과징금을 부과받은 구글, 308억원을 부과받은 메타보다 높은 수준이다. SK텔레콤처럼 개인정보를 유출한 카카오는 앞서 과징금 151억원을 부과받았다. 이동통신사인 LG유플러스 역시 개인정보 유출로 68억원의 과징금을 부과받은 바 있다.
- SK텔레콤 해킹 사고로 유심 무상 교체 시작...어떤 조치 취해야 하나
- SK텔레콤 해킹 사고, 정부 '이용자 위약금 면제해야'
- 유명 암호화폐 기업 '코인베이스', 사이버 해킹 공격으로 최대 6000억원 손실
- 항공사, 은행 등 주요 글로벌기업 웹사이트 한때 먹통
- 유튜브·지메일 등 전 세계 먹통... ‘넷플릭스법’ 첫 적용되나
Copyright ⓒ BBC News 코리아 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
