SK텔레콤이 2300만 명이 넘는 가입자의 개인정보가 유출된 사상 최악의 해킹 사고와 관련해 개인정보보호위원회로부터 역대 최대 규모의 과징금을 부과받았다.

개인정보보호위원회는 전체 회의에서 SKT에 1347억 9100만 원의 과징금과 960만 원의 과태료를 부과했다고 28일 밝혔다.

이는 지난 2022년 구글의 692억 원 과징금과 메타의 308억 원 과징금 사례를 합친 것보다도 높은 국내 최대 규모 제재다.

위원회는 SKT가 인터넷·관리·사내망 등을 동일 네트워크로 연결해 외부 접근을 사실상 차단하지 않았고, 해커의 침입 흔적을 인지하고도 비정상 통신이나 악성 프로그램 여부를 점검하지 않아 유출 사고를 막을 기회를 놓쳤다고 지적했다.

또 수천 개 계정 정보를 암호화 없이 서버에 저장하고, 홈가입자서버(HSS)에서는 비밀번호 입력 등 인증 절차 없이 개인정보를 열람할 수 있도록 운영해 해커가 손쉽게 데이터를 추출할 수 있게 했다고 설명했다.

조사에 따르면 해커는 2021년 8월 SKT 내부망에 침투해 다수 서버에 악성 프로그램을 설치한 뒤, 2022년 6월 통합고객인증시스템(ICAS)에 추가 거점을 확보했다.

이후 약 10GB(기가바이트)에 달하는 개인정보를 외부로 유출했으며 피해 규모는 휴대전화 번호·IMSI·유심 인증키(Ki) 등 25종에 걸쳐 총 2696만 건에 달한다.

특히 유심 복제 등 심각한 2차 피해를 유발할 수 있는 유심 인증키 2614만 건이 암호화되지 않고 평문으로 저장돼 더 빠르게 유출됐다는 점도 지적됐다.

SKT 해킹 경로 [개인정보보호위원회 제공]

이 외에도 SKT는 유출 사실을 인지한 4월 19일 이후 72시간 내 피해자에게 통보해야 했으나, 이를 지키지 않았다.

개인정보위가 5월 2일 긴급 의결로 즉시 통지를 요구했음에도, SKT는 9일에야 ‘유출 가능성’을 안내했고, 7월 28일에서야 ‘유출 확정’을 알리면서 위원회는 이로 인해 사회적 혼란이 장기화됐다고 봤다.

이에 개인정보위는 이번 사건을 ‘매우 중대한 위반’으로 규정하고, 이동통신 서비스 전반의 개인정보 처리 현황 점검, 개인정보 보호 책임자(CPO) 권한 강화, ISMS-P 인증 범위를 이동통신 네트워크 시스템으로 확대하는 시정명령을 내렸다.

아울러 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 9월 초에는 ‘개인정보 안전관리체계 강화 종합대책’을 발표할 예정이다.

개인정보보호위원회 고학수 위원장은 “대한민국 국민 절반 이상이 가입한 SKT에서 이처럼 중대한 정보가 유출된 것은 회사가 오랫동안 취약 상태를 방치했기 때문”이라고 강조했다.

이어 “이번 사건은 기업의 개인정보 보호 투자가 필수적이라는 점을 각인시키는 계기가 되어야 한다”라고 덧붙였다.

SKT 관계자는 “이번 결과에 무거운 책임감을 느끼며, 개인정보 보호를 모든 경영활동의 핵심 가치로 삼아 고객정보 보호 강화에 만전을 기하겠다”라고 밝혔다.

SKT [연합뉴스 제공]