'SKT 해킹사고' 역대 최대 과징금 1천348억원, "기본 안전조치도 안돼"

구글·메타 1천억 뛰어넘어…국내 1위 이통사, 고객 유출통지 지연도

최악 해킹 사고로 전체 이용자 2천300만여명의 개인 정보를 털린 SK텔레콤(이하 SKT)에 개인정보보호위원회가 역대 최대 과징금 1천348억원을 부과했다. 개인정보위는 지난 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1천347억9천100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 사진은 이날 서울 시내의 한 SKT 직영점. 연합뉴스

개인정보보호위원회가 최악의 해킹사고로 전체 이용자 2천324만명의 개인정보를 유출한 SK텔레콤(이하 SKT)에 역대 최대 과징금인 1천348억원을 부과했다.

제재 수위는 SKT가 기본적인 안전조치조차 취하지 않아 초대형 해킹 사고를 초래했다는 판단에 따른 것이다.

개인정보위의 역대 과징금 최대액은 2022년 9월 구글(692억원)과 메타(308억원)에 부과한 1천억원이었다. 두 글로벌 기업은 고객 동의 없이 행태정보를 수집하다 제재 처분을 받은 바있다.

SKT처럼 개인정보 유출 사고에 따른 최대 과징금은 2024년 5월 카카오에 내린 제재였다. 카카오는 오픈채팅을 통해 개인정보를 유출했다가 151억원의 과징금을 부과받은 바 있다.

개인정보위는 28일 SKT에 과징금 약 1천348억원을 부과하는 내용의 전체회의 의결안을 설명하며 SKT의 개인정보보호법상 위반사항을 조목조목 지적하고 시정을 촉구했다.

개인정보위는 올해 4월 SKT 유출신고를 접하고 사안의 중대성을 고려해 한국인터넷진흥원과 태스크포스(TF)를 꾸려 이용자 정보 유출 경위와 내용 등을 확인했다.

조사결과 해커는 2021년과 2022년 SKT 내부망에 침투해 해킹 거점을 마련하고 2025년 4월 서버에서 이용자 개인정보 9.82GB를 외부로 유출했다.

국내 1위 이동통신기업이 해커의 공격 시도에 장기간 노출됐고, 암호화되지 않은 정보가 탈취돼 전체 이용자 정보가 유출된 것은 기본적인 보안조치조차 하지 못한 결과로 분석됐다.

개인정보위는 SKT가 ▷접근통제 조치 소홀 ▷접근권한 관리 소홀 ▷보안 업데이트 미조치·백신 미설치 ▷유심 인증키 미암호화 평문 저장 등을 해킹사고의 주된 원인으로 꼽았다.

SKT는 2022년쯤 유심 복제 등의 이슈가 제기되자 내부적으로 암호화 조치를 검토하며 타 통신사들이 유심 인증키(Ki)를 암호화해 저장하고 있다는 것을 확인했다.

하지만 SKT는 이같은 조치를 하지 않았고, 결국 유출 피해를 예방하지 못한게 개인정보위 등의 조사로 확인됐다.

SKT는 내부 관리계획 수립·시행과 점검 소홀, 접속기록 미보관 등 안전조치의무를 준수하지 않았고, SKT가 자체적으로 마련한 내부규정도 다수 위반한 것으로 파악됐다.

사실상 이번 해킹사고의 최대 피해자는 자사 고객임에도 SKT는 해킹사고 인지 이후에도 이용자에게 즉시 해야 할 유출통지를 하지 않았다. 국민적 분노와 우려가 커진 이유다.

개인정보위는 지난 5월 2일 SKT에 유출통지를 즉각 진행할 것을 긴급 의결했으나 SKT는 일주일이 지난 같은 달 9일에야 유출 확인이 아닌 '가능성'을 이용자에게 통지했다.

이후 사고 석 달 만인 7월 28일에서야 고객에게 유출 확정 통지를 하는 등 개인정보 유출 시 이용자 피해예방을 위해 개인정보보호법에서 규정한 최소한의 의무조차 이행하지 않았다고 개인정보위는 지적했다.

개인정보위는 "SKT는 올해 4월 19일께 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인해 개인정보 유출 사실을 인지했음에도, 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않아 이로 인한 사회적 혼란이 가중됐다"고 지적했다.

이번 개인정보위 처분에 앞두고 위원회가 SKT에 최대 3천억원대 과징금 처분을 내릴 수 있다는 관측이 나오기도 했다.

개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있다. 정보 유출과 관련이 없는 매출액은 제외한다.

지난해 SKT의 무선통신사업 매출(12조7천700억원)을 적용할 경우 최대 3천억원대 중반까지 과징금이 나올 수 있을 것으로 추정됐다.

그간 SKT에 엄중한 제재를 강조해온 개인정보위는 SKT 피해복구 조치 등 여러 감경요소를 반영해 과징금 규모를 최종 산정했다고 밝혔다.

고학수 개인정보위원장은 이날 정부서울청사에 연 브리핑에서 "과징금 기준 액수, 감경 등 각각 단계의 구체적인 액수를 설명하기는 곤란하다"면서 "피해보상 노력 등을 고려해서 감경했고, 이런 단계를 거쳐서 최종 과징금이 결정됐다"고 말했다.

해당 과징금 처분에 대해 SKT 측은 "무거운 책임감을 갖고 있다"면서도 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라고 밝혔다.

법적 대응 여부에 대해서는 "향후 의결서 수령 후 내용을 면밀히 검토해 입장을 정하겠다"고 했다.

개인정보위 처분에 대해서는 의결서를 받은 뒤 90일 이내 행정심판을 청구하거나 관할법원에 행정소송을 제기할 수 있다.