‘유심 해킹’ SKT, 개인정보위 역대 최대 과징금 1,348억원 부과

시사위크=조윤찬 기자  개인정보보호위원회가 개인정보 유출 사고를 겪은 SKT에 역대 최대 과징금을 부과했다.

28일 개인정보보호위원회(이하 개인정보위)가 ‘개인정보보호법’ 위반 이유로 SKT에 과징금 1,347억9,100만원, 과태료 960만원을 부과하는 제재처분을 의결했다고 밝혔다.

과징금 관련 ‘개인정보 보호법’이 개정된 이후 발생한 사건으로 SKT에 대규모 과징금이 전망됐다. 과거 ‘위법 행위 관련 매출 3%’ 이내에 과징금을 부과할 수 있도록 한 내용이 ‘전체 매출 3%’ 이내로 개정됐다. 이번 과징금 규모는 개인정보위 역대 최대다. 앞서 2022년 9월 구글(692억원)과 메타(308억원)에 1,000억원이 부과된 바 있다.

개인정보위는 SKT가 지난 4월 22일 해킹 사실을 신고한 이후 한국인터넷진흥원과 TF를 구성해 조사해왔다. 조사 결과 SKT는 2,324만4,649명(알뜰폰 포함, 중복 제거)의 전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출됐다.

유출 경위를 보면 해커는 2021년 8월 6일 SKT 내부망에 최초침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월 15일 ICAS(통합고객인증시스템) 내 악성프로그램을 설치해 추가 거점을 확보했다. 이후 해커는 지난 4월 18일 HSS(홈가입자서버) DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출했다.

SKT는 안전조치 의무를 위반했다. 개인정보위에 따르면 SKT는 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했지만 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성을 점검하지 않았다.

다수 서버(약 2,365개)의 계정정보(ID/비밀번호 약 4,899개)는 암호 설정 없이 저장됐다. 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 조회·추출할 수 있었다.

SKT는 2016년 11월 보안 취약점이 있는 운영체제(OS)를 설치하고, 지난 4월 유출까지 보안 업데이트를 하지 않았다. 개인정보위는 상용 백신 프로그램은 2020년부터 해당 취약점을 탐지할 수 있었다고 지적했다.

유심 인증키(Ki) 2,614만4,363건이 암호화되지 않고 평문으로 HSS DB 등에 저장됐다. LG유플러스는 2011년, KT는 2014년부터 유심 인증키를 암호화하고 있다.

개인정보 유출 통지도 늦었다. 72시간 내 유출된 이용자 대상으로 유출 사실을 안내해야 하지만 5월 9일 유출 가능성 통지, 7월 28일 유출 확정 통지가 이뤄졌다. 개인정보 보호책임자(CPO)는 유출 발생한 인프라의 개인정보 처리 실태를 파악하지 않았다.

개인정보위는 과징금 처분과 함께 SKT에 △개인정보 책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄하는 거버넌스 체계 정비 △T월드 등에 획득한 개인정보관리체계(ISMS-P) 인증 범위를 이동통신 네트워크 시스템으로 확대할 것 등을 권고했다.

과징금 처분에 대해 SKT는 “충분히 소명했지만 반영되지 않아 유감”이라며 “의결서를 받고 내용을 검토하겠다”고 밝혔다.

개인정보위는 오는 9월 초 ‘개인정보 안전관리 체계 강화 종합대책’을 발표할 예정이다. 해당 대책은 대규모 개인정보 처리자의 보안 투자 확대를 유도하는 게 목표다.