[세종=뉴스핌] 이경태 기자 = 개인정보보호위원회는 28일 SK텔레콤이 2300여만 명의 개인정보를 유출한 사고에 대해 과징금 1347억9100만원과 과태료 960만원을 부과한다고 밝혔다.

개인정보위는 지난 27일 전체회의를 열고 이같은 내용으로 제재 처분을 의결했다.

조사 결과 해커들은 지난 4월 18일 SK텔레콤 홈가입자서버(HSS) 데이터베이스에서 9.82GB 규모의 개인정보를 외부로 유출했다. 유출된 정보는 LTE·5G 서비스 전체 이용자 2324만 4649명(알뜰폰 포함)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종에 달한다.

유심 복제에 악용될 수 있는 인증키까지 유출되면서 사회적 우려가 컸다. SK텔레콤은 이 중요한 인증정보 2614만여 건을 암호화하지 않고 평문으로 저장해온 것으로 드러났다.

개인정보위 관계자는 "2022년경 언론에서 유심 복제 이슈가 제기돼 암호화 조치를 검토하면서 타 통신사(LGU+, KT)가 유심 인증키를 암호화 저장하고 있음을 확인했음에도 조치하지 않았다"고 지적했다.

해킹은 2021년 8월부터 시작됐다. 해커들은 우선 SK텔레콤 내부망에 침투해 다수 서버에 악성 프로그램을 설치했고, 2022년 6월에는 통합고객인증시스템(ICAS) 내에 추가 거점을 확보했다. 이후 올해 4월까지 약 3년 8개월간 시스템에 잠복해 있다가 개인정보를 유출한 것이다.

개인정보위는 인터넷망에서 SK텔레콤 내부 관리망 서버로의 접근을 제한 없이 허용했고, 관리망 서버와 홈가입자서버 간 상호접속도 불필요한데도 허용해 해커가 손쉽게 핵심 시스템에 접근할 수 있었다는 점을 지적했다.

또한 2020년부터 상용 백신 프로그램들이 해당 취약점 실행을 탐지하고 있었으나 SK텔레콤은 올해 4월까지 백신을 설치하지 않았던 것으로 확인됐다.

SK텔레콤의 개인정보보호책임자(CPO) 운영에도 문제가 있었다. 회사가 IT 영역과 통신 인프라 영역 모두에서 개인정보를 처리해도 CPO의 역할은 IT 영역에만 한정돼 있었다. 이번 유출 사고가 발생한 인프라 영역은 CPO의 관리·감독이 사실상 이뤄지지 않았다.

SK텔레콤은 4월 19일께 개인정보 유출 사실을 인지했는데도 법령에서 정한 72시간 내 유출 통지를 하지 않았다. 개인정보위가 5월 2일 긴급 의결로 즉시 유출통지를 진행하도록 했지만, SK텔레콤은 5월 9일에서야 유출 '가능성'에 대해 통지했고, 7월 28일에서야 유출 '확정'를 실시했다.

개인정보위는 SK텔레콤에 대해 과징금과 과태료 부과와 함께 시정명령과 개선권고를 내렸다. 3개월 내 재발방지 대책을 수립·보고하고, 사고가 발생한 이동통신 네트워크·시스템에 대한 개인정보보호관리체계(ISMS-P) 인증을 취득하도록 했다.

고학수 개인정보위 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하기 바란다"고 말했다.

개인정보위는 다음 달 초 대규모 처리자의 개인정보보호·보안 관련 투자 확대를 유도하는 '개인정보 안전관리체계 강화 종합대책'를 발표할 예정이다.

biggerthanseoul@newspim.com