“접근통제도 미흡했다”…SKT, 유심 정보 대규모 유출로 역대급 제재

SK텔레콤의 유심(USIM) 인증키 등 민감 개인정보가 해킹을 통해 대규모로 유출된 사실이 드러나면서, 이동통신 보안체계와 개인정보 보호 정책에 대한 신뢰가 크게 흔들리고 있다. 개인정보보호위원회는 심층 조사를 거쳐 SK텔레콤에 개인정보보호법 위반 책임을 묻고 과징금 1347억9100만원, 과태료 960만원을 부과했다. 유심 인증키, 가입자식별번호 등 무려 25종에 달하는 데이터가 약 2324만명에 대해 유출됐으며, 해당 기업의 보안 조치 전반이 장기간 부실했던 점이 핵심 문제로 지적됐다. 업계는 이번 사건을 ‘국내 통신 인프라 신뢰성 시험대’로 해석한다.

개인정보위 조사에 따르면 SK텔레콤은 인터넷·관리·코어·사내망을 별도 분리하지 않고 하나의 네트워크로 관리하면서, 인터넷망에서 내부 관리망으로의 접근 통제도 제대로 시행하지 않아 해커의 침입에 무방비 상태로 노출됐다. 보안 업데이트 역시 수년간 방치됐고, 유심 인증키 등 핵심 정보는 암호화 없이 평문으로 저장됐다. 이로 인해 침입탐지시스템의 이상 행위도 포착·대응하지 못했고, 해커가 2022년 이미 서버에 접근한 상황조차도 적기에 점검하지 않았다. 실제 해킹에 활용된 운영체제 취약점(DirtyCow)은 2016년 패치가 배포됐으나, 그 이후 설치된 서버까지도 2024년 4월 유출 시점까지 미패치 상태였던 것으로 확인됐다. SK텔레콤은 상용 백신 프로그램도 미설치했고, 이용자 통지도 법적 기한인 72시간을 초과해 이루어졌다.

이번 해킹 유출로 피해를 본 개인정보 규모는 국내 전체 이동통신 가입자의 절반이 넘는 2300만명대에 이른다. 피해 정보는 휴대전화번호, IMSI(가입자식별번호), 유심 인증키 등으로, 해킹시 타인 가장이나 각종 금융사기에도 악용될 수 있다. 소비자의 실질적 안전조치 미흡, 통지 지연은 산업 내 개인정보 관리·운영의 실효성을 근본적으로 의심케 한다는 비판이 나온다.

글로벌 경쟁 구도에서도 국내 통신 인프라 관리 수준이 뒤처졌다는 지적이 제기되고 있다. 미국과 유럽 일부 시장은 핵심 인증키 암호화·망 분리 등 정보보호 규제와 산업 표준을 강화하고 있고, 대규모 개인정보 처리자에 대한 정기적 사이버 보안 점검도 의무화했다. 반면 국내 통신 산업은 데이터 중심 “최소 기준” 충족에 머물러 선제적 보안 혁신이 부족했다는 분석이다.

이번 사안을 계기로 개인정보위원회는 대규모 개인정보 처리자 감시를 강화하고, 실질적 안전관리 조치를 유도하는 인센티브와 내부 거버넌스 개선책을 다음 달 초 내놓을 예정이다. 고학수 위원장은 “기업 현장 실무자들이 기준만 충족하면 충분하다고 여기는 관행을 넘어서야 한다”며 “개인정보 보호 담당자의 전문성·책임성을 인정하는 환경과 보다 주도적 대응 유인을 만드는 정책 설계를 추진 중”이라고 설명했다.

산업계는 이번 SKT 사고가 시장 신뢰 회복과 산업 보안 체계를 전면적으로 재점검하는 계기가 될지 주목하고 있다. 기술적 안정성뿐 아니라 실질적 보호, 조직 내 전문성·자율성 강화가 새 성장 조건이라는 평가도 나온다.