개인정보위, 'SK텔레콤 개인정보 유출사고' 제재처분 의결

▲고학수 개인정보보호위원회 위원장이 28일 정부서울청사에서 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 발표하고 있다.(사진= 뉴스1)

[프레스뉴스] 강보선 기자= '대규모 고객 유심(USIM) 정보 해킹사태'가 발생한 SK텔레콤(SKT)이 과징금 1347억 9100만 원과 과태료 960만 원을 부과받았다. 해당 과징금은 개인정보위가 부과한 역대 최대 액수다.

개인정보보호위원회는 지난 27일 정부서울청사에서 제18회 전체회의를 열고, 안전조치 의무 및 유출 통지 위반 등 개인정보 보호 법규를 위반한 SKT에 대한 이같은 제재처분을 의결했다고 28일 밝혔다.

개인정보위는 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치도 내렸다.

개인정보위는 지난 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해 옴에 따라 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 조사했다.

조사 결과, 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만 4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 

SKT는 지난 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 점검하지 않았고, 다수 서버(약 2365개)의 계정정보(ID·비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영하기도 했다.

해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 2016년 10월 이미 보안 패치가 공개됐는데, SKT는 2016년 11월 이런 취약점을 가진 OS를 설치하고 유출 당시까지 보안 업데이트를 하지 않은 것으로 확인됐다.

2010년부터 해당 취약점의 실행을 탐지한 각종 상용 백신 프로그램을 설치하지 않았고, 이를 대체하는 보안 조치도 소홀히 한 것으로 나타났다.

또한 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만 4363건을 암호화하지 않고, 평문으로 HSS DB 등에 저장하기도 했다.

SKT는 2022년 유심 복제 등의 문제가 제기됨에 따라 암호화 조치를 검토하면서 타 통신사가 유심 인증키를 암호화해 저장하고 있는 것을 확인하고도 조치하지 않았다.

개인정보 보호책임자(CPO) 지정 및 업무 수행을 소홀히 한 것은 물론이고, 사실인지 후 법령에서 정한 72시간 내 유출 사실을 통지하지 않은 것으로 조사됐다.

개인정보위가 즉시 유출통지할 것을 긴급 의결했으나, SKT는 7일 뒤 '유출 가능성'에 대해 통지하고 26일 뒤에야 '유출 확정' 통지를 했다.

개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.

한편 이번 과징금은 개인정보위가 부과한 역대 최대 규모다. 앞서 2022년 9월 구글과 메타에 각각 692억 원, 308억 원, LG유플러스 68억 원 등의 과징금을 부과한 바 있다.
 

[ⓒ 프레스뉴스. 무단전재-재배포 금지]