SK텔레콤이 지난 4월 확인된 대규모 유심(USIM) 해킹 사태와 관련해 약 1348억 원의 과징금을 부과받았다. 개인정보보호법 위반으로 부과된 과징금 중 역대 최대 규모다.
이는 2022년 구글 692억 원, 메타 308억 원을 훌쩍 뛰어 넘는 액수다.
개인정보보호위원회는 28일 SK텔레콤의 대규모 개인정보 유출사고와 관련해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억 9100만 원, 과태료 960만 원을 부과했다고 밝혔다.
유영상 대표 등 SK텔레콤 임원들이 유심 해킹 사고와 관련해 머리 숙여 사과하고 있다. SK텔레콤
개인정보위는 4월 22일 SK텔레콤의 개인정보 유출 신고를 접수해 조사에 착수했다.
조사 결과, LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 사실이 확인됐다. 유출 규모는 총 2696만 건에 달했다.
해커는 2021년 8월 SK텔레콤 내부망에 처음 침투해 다수 서버에 악성 프로그램을 심었고, 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 확보했다.
이후 4월 18일 홈가입자서버(HSS) DB에 저장된 9.82GB 규모의 개인정보를 외부로 유출했다.
SK텔레콤 개인정보 유출 경위 도식 현황. 개인정보보호위원회
개인정보위는 SK텔레콤이 ▲방화벽 설정 미흡 ▲계정정보 관리 부실 ▲보안패치 미실시 ▲유심 인증키 평문 저장 등 기본적인 보안 의무를 다하지 않았다고 판단했다.
또 SK텔레콤이 유출 사실 인지 후에도 피해자 통지를 지연한 점에도 과태료를 부과했다.
SK텔레콤은 4월 19일 개인정보 유출 사실을 파악했지만 법에서 정한 72시간 내 통지를 하지 않았다.
이에 개인정보위가 5월 2일 긴급 의결로 즉시 통지를 요구했으나 SK텔레콤은 1주일이 지난 5월 9일에야 ‘유출 가능성’을 알리는 수준의 안내를 했고, 7월 28일이 돼서야 ‘유출 확정’ 사실을 통보했다.
개인정보위는 이로 인해 사회적 혼란이 길어졌다고 판단했다.
개인정보위는 재발 방지 차원에서 ▲이동통신 서비스 전반의 개인정보 처리 현황 점검 ▲개인정보 보호책임자(CPO) 권한 강화 ▲개인정보보호관리체계(ISMS-P) 인증 범위 통신 이동통신 네트워크 시스템으로 확대 등을 명령·권고 했다.
개인정보위는 또 9월 초에 유사한 해킹 사례 방지를 위해 대규모 개인정보 처리자의 관리·감독을 강화하고, 보안 투자 확대 유도 및 개선책을 담은 ‘개인정보 안전관리체계 강화 종합대책’을 발표할 계획이다.