“1300억 과징금 폭탄”…SK텔레콤 개인정보 보안 허점, 업계 충격

SK텔레콤의 개인정보 관리 허점이 IT 산업에 경종을 울리고 있다. 국내 1위 이동통신사업자가 유심(USIM) 인증키 등 민감정보를 암호화하지 않고 보관하는 등 기본 보안 조치를 이행하지 않아, 이용자 2324만여명의 개인정보가 유출됐다. 개인정보보호위원회는 조사 결과를 바탕으로 SK텔레콤에 1347억9100만원의 과징금과 960만원의 과태료를 부과했다. 이는 단일 기업 기준 역대 최대 제재로, 업계는 이번 사건을 ‘개인정보보호 경쟁’의 분기점으로 보고 있다.

이번 대규모 유출은 SK텔레콤 내부 시스템의 보안 미흡에서 비롯됐다. 조사에 따르면 접근통제 미흡, 접근권한 관리 소홀, 보안 업데이트 이행 실패, 그리고 유심 인증키 등 주요 정보를 암호화하지 않고 평문으로 저장하는 등 복수의 안전조치 의무 위반이 확인됐다. 특히 2016년 이미 알려졌던 운영체제 보안 취약점(DirtyCow)을 업데이트하지 않아, 해커의 악성코드 설치에 사실상 무방비로 대응했다. 이 과정에서 LTE·5G 전 가입자, 알뜰폰 이용자까지 포함해 약 2300만 명의 휴대전화번호, 가입자식별번호(IMSI), 키(Ki) 등 25종에 달하는 민감 정보가 모두 유출된 것으로 파악됐다.

보안 관리의 기본인 접근통제와 망분리가 제대로 이뤄지지 않은 점도 확인됐다. SK텔레콤은 인터넷·관리·코어망을 하나로 묶어 운영했으며, 외부 인터넷망에서 관리 서버로의 접근도 차단하지 않았다. 또 침입탐지 로그 점검, 악성프로그램 탐색 등 사후 모니터링 절차가 부실했고, 사내 백신 솔루션이나 대체 보안조치도 시행하지 않은 것으로 밝혀졌다.

이번 사고에서 SK텔레콤의 유출 대응 역시 적절하지 못했다. 4월 19일 외부 전송 정황을 인지했음에도, 72시간 내 이용자 통지 의무를 지키지 않았고, 5월 2일 긴급 명령 이후에도 통지 지연이 이어졌다. 최종적으로 7월 28일까지 확정 통지가 미뤄지면서 사회적 불안과 정보혼란을 심화시켰다.

개인정보위원회는 SK텔레콤이 대국민 통신플랫폼을 운영하는 주요 기업임에도, CPO(개인정보보호책임자) 역할이 미흡하고, 전사 차원의 개인정보보호관리체계(ISMS-P) 인증 범위도 일부 시스템에만 국한돼 있었던 점을 문제 삼았다. 이후 내부 거버넌스 강화, 처리업무 총괄 체계 재정비, 인증범위 확대 등을 명령했다.

글로벌 IT 산업에서는 최근 데이터 유출 사고 후, 기업별로 개인정보보호 예산과 인력투입을 확대하는 추세다. 특히 유럽연합(EU)의 GDPR이나 미국의 CCPA처럼 엄격한 “책임다층제”가 강화되고 있어, 국내에서도 관리 미흡시 대규모 벌금은 ‘산업 구조 조정의 트리거’가 될 수 있다는 우려가 높아지고 있다.

전문가들은 “이번 사건 이후 대규모 개인정보 처리 사업자에 대한 관리·감독과 보안투자가 산업계 표준이 될 것”이라고 내다봤다. 개인정보위 역시 향후 방지대책을 마련해 다음달 초 공개할 계획이다. 산업계는 이번 사건을 계기로, ICT기업의 개인정보 보안 체계가 한층 강화될지 예의주시하고 있다.