“SK텔레콤 역대 최대 과징금”…개인정보 해킹·통지 지연에 산업 신뢰 흔들

SK텔레콤의 대규모 개인정보 유출 사고가 국내 ICT 산업의 보안 체계와 개인정보 관리 수준에 경종을 울리고 있다. 국내 1위 이동통신사가 해킹에 취약한 상태로 이용자 2324만4649명의 핵심 데이터가 무방비로 노출된 점, 그리고 법적 절차를 따르지 않은 통지 지연이 확인되면서 산업 신뢰도가 크게 흔들리고 있다. 업계는 이번 제재가 향후 통신·플랫폼 기업 전반의 개인정보 보호 경쟁을 촉진하는 분기점이 될 것으로 본다.

개인정보보호위원회는 최근 제18회 위원회를 열고 SK텔레콤에 개인정보보호법 위반으로 과징금 1347억9100만원, 과태료 960만원 등 역대 최대 규모의 처분을 내렸다고 밝혔다. 이는 지난 4월 발생한 USIM 해킹 사고와 관련, 통신망·관리망에 접근제한이 거의 없었고, 유심 인증키 등 25종의 정보를 암호화 없이 평문으로 저장하는 등 기본적 보안 의무를 광범위하게 위반한 데 따른 조치다. 유출 범위에는 LTE·5G 알뜰폰까지 포함돼 한국 이동통신 가입자 대다수가 영향을 받았다.

기술적으로는 2016년 발견된 DirtyCow 보안 취약점이 수년째 방치된 채 운영체제(OS)에 남아 있었고, 침입탐지 시스템 또한 이상행위 확인·로그 점검 등 대응 절차가 제대로 작동하지 않았다. 해커는 올해 4월, 이미 외부로 유심 인증키와 가입자식별번호(IMSI) 등 암호화되지 않은 데이터를 대량 송출한 것으로 조사됐다. 기본적인 백신 프로그램 미설치, 내부 책임자 지정 및 관리체계 부실도 드러났다.

보안업계는 이 정도의 체계적 미비는 선진국 통신사에선 좀처럼 찾아보기 어렵다고 평가한다. 미국·유럽 통신업체들은 NIST, GDPR 등 국제 기준에 따라 핵심 정보 암호화와 망 분리 운영, 위협 탐지 체계 자동화 등 선제적 방어가 일상화돼 있다. 반면 이번 조사에서 SK텔레콤은 인터넷망과 내부 망 연결 등 물리적·논리적 통제가 사실상 부재한 상태로 확인됐다는 점이 국내 산업계에 적잖은 충격을 주고 있다. 개인정보 유출 사고 통지 역시 72시간 내 신고·안내 등 유럽의 엄격한 즉시 통지와 대비된다.

개인정보위는 과징금과 별개로, SK텔레콤에 CPO(개인정보 보호책임자) 역할 강화, 내부 거버넌스 개선, ISMS-P 인증 범위 확대 등을 추가로 명령했다. 특히 현행 인증이 고객관리 일부 시스템에 그쳤던 한계를 통신망 전반으로 확장할 것을 권고하며, 공식적으로 보안 프로세스가 경영 차원에서 재정비될 필요성을 강조했다.

업계 전문가들은 역대 최대 제재 이후 통신·플랫폼·빅데이터 기업 전반에서 정보보호 투자 확대와 체계 정비 움직임이 가속화될 것으로 본다. 한 정보보호 전문가는 “이번 제재는 기술적 조치만이 아니라 책임구조, 정책적 실행력까지 산업 전체가 재설정될 신호탄”이라며 “유심 등 미래 네트워크 핵심 정보 보호는 데이터 경제 신뢰의 근간이자 국가적 경쟁력 변수”라고 진단했다.

산업계는 이번 처분이 현실적 보안 수준 제고와 함께, 통신 서비스에 대한 국민 신뢰 회복의 계기가 될지 주목하고 있다. 전문가들은 개인정보보호 관련 법제·정책의 글로벌 수준 격상과, 통신·ICT 기업의 윤리적 책임 강화가 동반돼야 장기적으로 안정적 시장 성장이 가능할 것으로 내다봤다.