안전조치 의무·유출 통지 위반…과징금1347억9100만원·과태료 960만원 부과

인프라 관리 소홀로 2300여만명 주요 디지털 개인정보(USIM 정보 등) 유출

SK텔레콤이 개인정보보호법 위반으로 과징금 1347억9100만원과 과태료 960만원을 부과받았다.

이번 처분은 지난 4월 발생한 '유심 해킹' 사고 이후 개인정보보호위원회가 실시한 현장 조사 결과에 따른 것이다.

조사에 따르면 SK텔레콤은 ▲접근통제 미흡 ▲접근권한 관리 소홀 ▲보안 업데이트 미실시 ▲유심 인증키를 암호화하지 않고 평문으로 저장하는 등 정보보호 조치 의무를 다하지 않은 것으로 드러났다. 이로 인해 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출된 사실이 확인됐다.

개인정보위가 SK텔레콤에 부과한 과징금은 단일 사업자 기준 역대 최대 규모다. 종전 최고액은 2022년 9월 구글(692억원)과 메타(308억원)에 각각 부과된 총 1000억원이었다.

■이동통신 사용자 2300여만명의 주요 디지털 개인정보(USIM 정보 등) 유출

개인정보보호위원회는 지난 27일 열린 제18회 전체회의에서 'SK텔레콤 개인정보 유출 사고'에 대한 제재 처분안을 의결했다고 28일 밝혔다.

개인정보위는 지난 4월 22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 조사에 착수했다. 개인정보위는 사건의 중대성을 감안해 신고 당일 한국인터넷진흥원(KISA)과 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했다.

TF 조사 결과, SK텔레콤이 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.

■기본적인 접근 제한조치 없어…보안업데이트도 소홀

이번 유출 사고는 기본적인 보안 조치 미비와 관리 소홀에서 비롯된 것으로 확인됐다.

조사에 따르면 SK텔레콤은 ▲접근통제 조치 미흡 ▲접근권한 관리 소홀 ▲보안 업데이트 미이행 ▲유심 인증키를 암호화하지 않고 평문으로 저장하는 등 안전조치 의무를 위반했으며 ▲개인정보 보호책임자(CPO) 지정 및 역할 수행 소홀 ▲이용자에 대한 유출 통지 지연 등의 법령 위반 사항도 함께 드러났다.

구체적으로 SK텔레콤은 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서, 인터넷망(국내·외)에서 회사 내부 관리망 서버로의 접근을 제한없이 허용했다. 즉, 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영했다.

뿐만 아니라 SK텔레콤은 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다. 특히 2022년 2월 해커가 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부·추가적인 악성프로그램 설치 여부와 접근통제 정책의 적절성 등을 점검하지 않아 이번 유출 사고를 사전에 방지할 기회를 놓친 사실이 확인됐다.

보안 업데이트도 장기간 이행하지 않았다.

이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 2016년 10월에 이미 보안 경보가 발령됐고 보안 패치가 공개된 사항이었다. SK텔레콤은 이를 인지하고 있었음에도, 2016년 11월 이러한 보안 취약점을 가진 OS를 설치했으며 올해 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.

또 최소 각종 상용 백신 프로그램으로 해당 취약점을 탐지 할 수 있었지만 SK텔레콤은 올해 4월까지 이를 설치하지 않았을 뿐만 아니라 백신 미설치를 대체하는 보안 조치마저도 소홀히 해 결과적으로 이번 유출 사고를 막지 못했다.

개인정보 유출 사실을 이용자에게 제때 알리지도 않았다.

SK텔레콤은 4월 19일 개인정보가 외부로 전송된 사실을 인지했음에도 관련 법령상 기한인 72시간 이내에 유출 사실을 이용자에게 통지하지 않았다. 이로 인해 사회적 불안과 혼란이 가중됐다.

이에 따라 개인정보위는 5월 2일 긴급 의결을 통해 즉시 통지 조치를 명령했지만, SK텔레콤은 5월 9일에야 '유출 가능성'을 통지했고, 7월 28일이 돼서야 '유출 확정' 통지를 진행하는 등 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않았다.

■개인정보위, 개인정보 안전관리 체계 강화방안 마련

개인정보위는 SK텔레콤이 국내 1위 이동통신사업자로서 유심 정보를 포함한 대규모 개인정보를 유출하고도, 적시에 피해자 통지조차 하지 않은 점을 중대하게 판단했다. 이에 따라 안전조치 의무 위반에 대해 과징금 1347억9100만원, 유출 통지 지연에 대해 과태료 960만원을 각각 부과했다.

아울러 재발 방지를 위해 SK텔레콤에 ▲개인정보 보호책임자(CPO)의 역할 강화 ▲회사 전반의 개인정보 처리 업무를 총괄할 수 있는 내부 거버넌스 체계 정비 등을 명령했다. 또 현재 일부 고객관리 시스템(T world 등)에만 국한된 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 네트워크 전반으로 확대해, 개인정보 보호 수준을 전사적으로 끌어올릴 것을 권고했다.

개인정보위는 이번 조사·처분에 대해 단순히 특정 기업에 대한 제재를 넘어 우리 사회 전반에 개인정보 보호의 중요성을 다시 한번 환기시키는 계기가 될 것이라고 설명했다. 특히 기업이 '이용자 개인정보 보호'라는 책임을 다하지 못해 국민이 겪은 불안과 피해에 대해 국가가 엄정하게 대응함으로써, 다른 기업들에게도 개인정보 관리체계 강화 및 예방적 보호 조치 마련에 대한 경각심을 줄 것으로 기대된다고 덧붙였다.

개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 다음달 초 발표할 예정이다.

고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"면서 "나아가 데이터 경제시대 최고정보보호책임자(CPO)와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다"고 말했다.

/뉴시스

호남일보 관리자 기자 |