제보
로그인
개인정보보호위원회가 SK텔레콤(이하 SKT)에 2,300만여 명의 개인정보 유출 사고 책임을 물어 과징금 1,347억 9,100만 원과 과태료 960만 원을 각각 부과했습니다.
2020년 개인정보위 출범 이후 최대 규모의 제재입니다.
조사에 따르면 해커는 2021년 8월 SKT 내부망에 침투해 악성프로그램을 설치했고, 2022년 6월 통합고객인증시스템(ICAS)까지 장악했습니다.
이후 올해 4월 홈가입자서버(HSS) 데이터베이스에서 전체 이용자의 개인정보 9.82GB를 외부로 유출했습니다.
특히 유심 인증키 2,061만여 건은 암호화 없이 평문으로 저장돼 해커가 원본을 그대로 확보할 수 있었습니다.
해킹에 이용된 운영체제(OS) 보안 취약점(DirtyCow)은 이미 2016년 보안 패치가 공개됐지만, SKT는 올해 4월 유출 당시까지도 보안 업데이트조차 하지 않은 것으로 드러났습니다.
SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SKT 내부 관리망 서버로 접근을 제한 없이 허용했습니다.
또, 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했습니다.
개인정보보호법은 유출 사실을 72시간 내 통지하도록 규정하지만, SKT는 5월 2일 개인정보위가 통지 지시를 내린 뒤에도 같은 달 9일에야 '유출 가능성'만 알리고, 두 달이 지난 7월 28일에서야 '유출 확정'사실을 고지했습니다.
SKT는 "무거운 책임감을 느끼며 고객정보 보호 강화를 위해 만전을 기하겠다"고 밝혔지만 실제 부과액에 대해 당혹감이 큰 것으로 전해졌습니다.
개인정보위 처분에 대해서는 90일 이내 행정심판이나 소송 제기가 가능합니다.
통신업계는 과징금이 구글·메타 사례(총 1,000억 원)를 크게 웃도는 수준이라며, 재무 부담뿐 아니라 AI 등 신사업 투자와 대외 신뢰도에도 타격이 불가피하다는 관측을 내놓고 있습니다.
이번 사고로 SKT는 약 100만 명 가입자가 이탈해, 2000년대 초반 이후 유지해오던 40% 이상의 시장점유율이 무너졌습니다.
2분기 영업이익도 3,383억 원으로 전년 대비 38.1% 감소하고 위약금 면제, 고객 보상, 과징금 지출까지 겹치면서 실적 악화는 불가피한 것으로 전해졌습니다.
개인정보위는 SKT에 거버넌스 개편, 전사적 개인정보 보호체계 구축 등을 명령했습니다.
다만 일각에서는 "징벌적 과징금이 기업의 신고를 위축시킬 수 있다"며 해커 추적·수사 역량 강화도 병행해야 한다는 지적이 나오고 있습니다.
댓글
(0)