SK텔레콤이 대규모 유심(USIM) 해킹 사태와 관련해 약 1348억 원의 과징금을 부과받았다. 이는 2022년 구글(692억 원)과 메타(308억 원)에 부과된 1000억 원을 넘어서는 것으로, 개인정보보호법 위반으로 부과된 과징금 중 역대 최대 규모다.
개인정보보호위원회는 SK텔레콤의 대규모 개인정보 유출사고와 관련해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1347억9100만 원, 과태료 960만 원을 부과했다고 28일 밝혔다.
개인정보위는 지난 4월 22일 SK텔레콤의 개인정보 유출 신고를 접수해 조사에 착수했다. 조사 결과, LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 사실이 확인됐다. 유출 규모는 총 2696만 건에 달했다.
SK텔레콤이 침입탐지 시스템의 이상행위 로그를 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다고도 지적했다. SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도 비정상 통신, 추가 악성프로그램 설치 여부 등을 점검하지 않은 것으로 확인됐다. 또 계정정보가 저장된 파일을 관리망 서버에 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다.
보안 업데이트 조치를 하지 않은 점도 확인됐다. 2016년 10월 BPF도어 보안 경보 발령 후 보안 패치가 공개됐음에도 SK텔레콤은 유출 당시까지도 보안 업데이트를 실시하지 않았다. 유심 인증키 2614만건을 암호화하지 않고 평문으로 저장한 점도 지적됐다.
개인정보위는 이번 사태가 과징금 산정 판단 기준 중 최고 수준인 ‘매우 중대한 위반’에 해당한다고 판단했다. 고학수 개인정보위 위원장은 브리핑에서 “유출된 정보의 성격, 2300만 명의 정보 유출, 회사가 지난 몇 년간 취약 상태에 노출돼 있던 점 등이 고시의 여러 가지 항목을 위반한 것을 고려해 매우 중대함으로 결론 내렸다”고 설명했다.
이어 “회사가 전반적으로 취약한 부분이 있었고, 이를 장기간에 걸쳐 인지하고 조치할 기회가 있었음에도 놓쳤다”며 “대한민국 국민 절반이 가입자로 이용하는 상황에서 유심이 매우 중대한 정보임에도 회사가 이를 제대로 관리하지 못했다는 문제의식이 대부분 위원들에게 있었다”고 덧붙였다.
개인정보위는 재발 방지 차원에서 ▲이동통신 서비스 전반의 개인정보 처리 현황 점검 ▲개인정보 보호책임자(CPO) 권한 강화 ▲개인정보보호관리체계(ISMS-P) 인증 범위 통신 이동통신 네트워크 시스템으로 확대 등을 명령·권고했다.
또 유사 사례 방지를 위해 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 보안 투자 확대를 유도하기 위한 개선책을 담은 ‘개인정보 안전관리체계 강화 종합대책’을 9월 초 발표할 계획이다.
SKT 유심 대란 >
구독
© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0