[뉴스토마토 이지은 기자] 개인정보보호위원회가
SK텔레콤(017670)의 대규모 개인정보 유출 사고와 관련 과징금 약 1348억원을 부과했습니다. 지금까지 개인정보위가 부과한 과징금 가운데 역대 최대 규모입니다.
개인정보위는 지난 27일 전체회의를 열고 개인정보 보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원을 부과하고, 전반적인 시스템 점검과 안전 조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정 조치안을 의결했다고 28일 밝혔습니다.
이번 과징금은 개인정보위가 부과한 과징금 가운데 가장 높은 수준입니다. 지금까지 역대 최대 과징금은 지난 2022년 9월 개인정보보호법을 위반한 구글에 부과한 692억원입니다. 개인정보 유출 사건만 놓고 보면 지난해 5월 카카오톡 오픈채팅방 개인정보 유출 사건에서
카카오(035720)에 내려진 151억원이 최대였습니다.
개인정보위에 따르면 해킹으로 LTE·5G 이용자 2324만여명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출됐습니다. 이번 사고는 해커가 2021년 8월 최초 내부망에 침투한 이후 2022년 6월 통합고객인증시스템(ICAS) 서버에 추가 악성 프로그램을 설치하고, 지난 4월18일 홈가입자서버(HSS) 데이터베이스에서 약 9.8GB 규모의 개인정보를 외부로 반출한 것으로 조사됐습니다.
조사 과정에서는 방화벽 설정 미흡, 서버 계정 정보 평문 저장, 보안 업데이트 미실시, 유심 인증키 암호화 미조치 등 기본적인 보안 관리 부실이 드러났습니다. 특히 SK텔레콤은 다른 통신사들이 10년 전부터 적용한 유심 인증키 암호화를 시행하지 않아 피해를 키운 것으로 확인됐습니다.
.
또한 SK텔레콤은 4월19일 유출 사실을 인지했음에도 법정 기한인 72시간 내 이용자에게 통지하지 않고, 5월9일 유출 가능성 공지만 한 뒤 7월28일에서야 최종 확정 통지를 했습니다. 개인정보위는 이를 유출 통지 의무 위반으로 판단했습니다.
개인정보위는 SK텔레콤에 3개월 내 재발 방지 대책 수립·보고, 개인정보보호관리체계(ISMS-P) 인증 확대, 개인정보보호 책임자(CPO) 권한 강화 등을 명령했습니다.
고학수 개인정보위원장은 "이번 사건을 계기로 기업들이 개인정보 보호를 단순 비용이 아닌 필수 투자로 인식하길 바란다"고 말했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지