컨텐츠로 건너뛰기
검색
경향신문 언론사 이미지

해킹사고로 2300만명 고객 개인정보 유출…SKT ‘역대 최대’ 과징금 1348억원

경향신문
원문보기

해킹사고로 2300만명 고객 개인정보 유출…SKT ‘역대 최대’ 과징금 1348억원

서울맑음 / -3.9 °
개인정보보호위 3개월 조사 결론
“알면서도 백신 등 예방조치 안 해”
SKT는 행정소송 나설지 저울질
참여연대 “매출 1%…너무 적어”

해킹 사고로 약 2300만명의 고객 개인정보를 탈취당한 SK텔레콤에 개인정보보호위원회가 1300억원이 넘는 역대 최대 과징금을 부과했다.

사태의 중대성을 고려하면 매출의 1%밖에 되지 않는 과징금은 ‘솜방망이 처분’이라는 비판이 나오는 가운데, 유감을 표한 SK텔레콤은 행정소송에 나설지 저울질 중이다.

개인정보위는 “27일 전체회의를 열고 개인정보보호 법규를 위반한 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과하기로 했다”고 28일 밝혔다. 이번 과징금 규모는 개인정보위가 2020년 출범한 이후 가장 크다.

개인정보위가 지난 3개월간 조사한 결과에 따르면, SK텔레콤이 해킹 사고로 탈취당한 개인정보는 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함)의 정보 25종이다. 휴대전화번호, 가입자식별번호(IMSI), 유심인증키(Ki·OPc) 등이 포함돼 있다.


조사 결과, SK텔레콤의 보안은 “꽤 오랜 기간 전반적으로 허술한 상태”(고학수 개인정보위원장·사진)였다.

SK텔레콤의 내부 관리망과 핵심망인 가입자 접속 인증시스템(HSS)마저도 인터넷으로 접속이 가능했다. 게다가 HSS에선 비밀번호 입력 등 별도 인증 절차 없이 개인정보 조회가 가능했다. 이에 해커는 2021~2022년 관리망에 악성프로그램을 설치하고, 올해 4월엔 HSS 내 개인정보를 추출할 수 있었다.


SK텔레콤은 또한 당시 운영체제가 보안에 취약하다는 사실을 알고 있으면서도 보안 업데이트를 하지 않았고, 백신 프로그램도 설치하지 않았다.

가입자 인증에 필수적인 ‘유심 인증키’ 2614만4363건도 암호화하지 않았다. 반면 LG유플러스는 2011년, KT는 2014년부터 유심 인증키를 암호화해 관리하고 있다.

보안이 헐거웠어도 해킹 사고를 막을 기회는 있었다. SK텔레콤은 3년 전 해커가 HSS에 접속한 사실을 확인했는데도 악성프로그램 설치 여부 등을 확인하지 않았다.


나아가 개인정보위는 보안을 경시하는 조직 체계도 문제로 지적했다. SK텔레콤의 개인정보보호책임자(CPO)의 역할은 웹·앱 서비스 등 정보기술(IT) 영역에만 국한돼 있었다.

개인정보위는 SK텔레콤의 개인정보 유출 통지 지연도 질타했다. SK텔레콤은 4월19일 해킹을 인지했으나 5월9일 “유출 가능성”을 통지했고 “유출 확정”을 공식적으로 알린 건 3개월이 지난 7월28일이었다. “법에서 규정한 최소한의 의무조차 이행하지 않았다”는 것이 개인정보위 판단이다.

개인정보위가 SK텔레콤에 역대 최대 과징금을 부과한 이유는 “매우 중대한 개인정보보호법 위반”으로 판단했기 때문이다. 고학수 위원장은 “유출 사고 자체도 중대했지만 이 회사의 보안이 오랫동안 취약한 상태였다는 점도 중대성 판단을 할 때 고려했다”고 설명했다.


이전까지 개인정보위로부터 거액의 과징금 처분을 받은 기업은 구글(692억원)과 메타(308억원)가 꼽힌다. 두 기업은 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용해 2022년 9월 과징금을 부과받았으나 이에 불복해 소송 중이다.

SK텔레콤 역시 행정소송에 나설 가능성이 거론된다. SK텔레콤은 이날 “당사 조치 등을 소명했음에도 결과에 반영되지 않아 유감”이라며 “향후 의결서 수령 후 내용을 면밀히 검토해 입장을 정할 예정”이라고 밝혔다.

업계 안팎에선 과징금 규모가 예상보다 낮다는 평가도 나오고 있다. 개인정보보호법상 과징금은 관련 매출액의 3% 이내에서 부과할 수 있다. 이 때문에 최대 3700억원대 과징금이 부과될 수 있다는 관측이 제기됐다.

참여연대는 이날 논평에서 “이번 과징금은 SK텔레콤 매출액의 1% 수준에 불과하다”며 “사안의 중대성과 SK텔레콤의 악의적인 후속조치를 감안하면 매우 적은 수준”이라고 지적했다.

한편 이번 과징금과 별개로 집단분쟁조정 절차가 조만간 재개될 예정이다.

SK텔레콤을 상대로 개인정보위에 접수된 집단분쟁조정 신청은 3건, 참가자는 2025명이다. 집단분쟁조정은 다수에게 동일한 피해가 발생한 경우 신속하게 구제를 받을 수 있도록 하는 제도다. 조정이 성립되면 ‘재판상 화해’와 동일한 효력을 갖지만, 성립되지 않으면 당사자들은 민사소송을 제기할 수 있다.

송윤경 기자 kyung@kyunghyang.com

▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 주 3일 10분 뉴스 완전 정복! 내 메일함에 점선면 구독

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.