2300만명 정보 새나갔다…SKT ’역대 최대’ 1348억 과징금
7일 SK텔레콤 본사에서 최태원 SK 회장이 유심 해킹 사고와 관련해서 대국민 사과를 하고 있다. 사진=SK 제공
[인포스탁데일리=김근화 기자] 유심정보 유출로 인해 2300만명의 디지털 개인정보를 유출한 SK텔레콤(017670)이 역대 최대 과징금을 물게 됐다.
개인정보보호위원회(개인정보위)는 개인정보 보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원을 부과하기로 결정했다고 28일 밝혔다.
앞서 지난 4월 SK텔레콤에서 고객의 유심 관련 정보가 유출되는 사고가 발생했다. 이에 개인정보위는 한국인터넷진흥원과 함께 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계 및 개인정보 보호법령 위반여부 등을 중점적으로 조사했다.
개인정보위에 따르면 이번 유심해킹사건으로 인해 SK텔레콤의 LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출된 것으로 확인됐다.
해커는 지난 2021년 8월 SK텔레콤의 내부망에 최초침투해 다수 서버에 악성 프로그램을 설치했으며, 2022년 ICAS(통합고객인증시스템) 내 악성프로그램을 추가 설치한 것으로 드러났다.
이후 지난 4월 HSS(홈가입자서버) 데이터베이스에 저장된 이용자의 개인정보를 외부로 유출한 것으로 밝혀졌다.
개인정보위는 이번 사고의 원인으로 SK텔레콤의 기본적인 보안 조치 미비와 관리 소홀을 꼽았다.
우선, SK텔레콤은 기본적인 접근통제를 제대로 이행하지 않았고, 그 결과 인터넷과 내부망 사이의 보안 운영 환경이 해커의 침입에 매우 취약한 상태로 운영되고 있었다.
SK텔레콤은 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 내부 관리망 서버로의 접근을 제한없이 허용해왔고, 관리망 서버는 HSS와 상호접속이 불필요함에도 이를 허용했다.
또한, 과거 해커가 HSS 서버에 접속한 사실을 알고 있었음에도 불구하고 불법적인 유출 시도에 대한 탐지 및 대응 조치를 제대로 이행하지 않아 사전 방지 기회를 놓쳤다.
이외에도 SK텔레콤은 약 2365개의 계정정보가 저장된 파일을 관리망 서버와 유심 인증키(Ki) 등에 암호도 설정하지 않았고, HSS에서 인증절차 없이도 개인정보를 조회할 수 있도록 시스템을 운영해왔다.
개인정보위는 사전 관리 미흡과 더불어 SK텔레콤의 개인정보 유출 사고 이후 대처에 대해서도 지적했다.
SK텔레콤은 HSS 데이터베이스에 저장된 데이터의 유출 사실을 확인했지만 유출된 이용자를 대상으로 해당 사실을 늦장 신고한 바 있다.
이에 개인정보위는 즉시 유출통지를 진행할 것을 긴급 의결했으나 SK텔레콤은 7월 28일에서야 유출 확정 통지를 실시했다.
개인정보위는 SK텔레콤이 국내 1위 이동통신사업자로서 안전조치의무를 소홀히 한 행위에 대해 과징금을 부과했으며, 유출 통지를 지연한 행위에 대해 과태료를 부과했다.
또한, 사고 재발 방지를 위해 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령했다.
이외에도 현재 일부 고객관리시스템에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대하도록 권고했다.
개인정보위는 유사사례가 발생하지 않도록 오는 9월 초 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 발표할 예정이다.
김근화 기자 [email protected]
-
등록일 00:58
-
등록일 00:08
-
등록일 00:07
