개보위, SKT에 과징금 1348억원 부과..."관리 소홀로 2300만명 개인정보 유출"

[임경호 기자]

유영상 SK텔레콤 대표/사진=윤상호 기자

SK텔레콤이 가입자 2300여만명의 디지털 개인정보를 유출한 사고에 대해 개인정보보호위원회로부터 1348억원의 과징금 및 과태료 처분을 받았다.

개보위는 이번 사고가 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 봤다. 이에 정부는 내달 초 '개인정보 안전관리체계 강화 종합대책'을 발표할 예정이다.

2324만명 개인정보 유출...과징금 1348억원

개인정보보호위원회는 28일 개인정보 보호 법규를 위반한 SK텔레콤에 과징금 1347억9100만원, 과태료 960만원을 부과하고, 재발 방지를 위한 시정조치안을 의결했다고 밝혔다.

시정조치안에는 전반적인 시스템 점검과 안전조치 강화, 개인정보 보호책임자(CPO)를 통한 전사적 개인정보 거버넌스 체계 정비 등이 담겼다. 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대해 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 하는 개선 권고안도 포함됐다.

사진=개인정보보호위원회

개보위는 하루 전 서울 종로구 정부서울청사에서 제18회 전체회의를 열고 이 같은 사항을 결정했다. 이는 지난 4월 22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고를 하면서 조사한 결과에 따른 후속 조치다. 개보위는 그간 네 차례 사전 검토회의를 열고, 사업자(SK텔레콤)의 의견도 수렴했다.

개보위는 신고 당일 한국인터넷진흥원(KISA)과 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계와 개인정보 보호법령 위반여부 등을 중점 조사했다. TF는 개보위 측 조사관 4명과 사내변호사 및 회계사 3명, KISA 조사관 7명으로 구성됐다.

조사는 현장조사와 서면조사, 디지털 증거수집 등이 이루어졌다. 그 결과 SK텔레콤이 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명의 개인정보가 유출된 것으로 확인됐다.

유출 정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종이다. 개보위는 개인 식별·인증 수단으로 휴대전화가 널리 이용되는 상황에서 이번 사건으로 이동통신 서비스의 신뢰도가 저하되고, 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다고 평가했다.

기본 조치 미비 적발...보안 업데이트도 안해

개보위는 SK텔레콤의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사해 기본적인 보안 조치 미비와 관리 소홀을 원인으로 규정했다. 안전조치 위반 개인정보 보호책임자 지정 및 업무 수행 소홀 개인정보 유출통지 지연 등이 대표적이다.

조사에 따르면 SK텔레콤은 기본적인 접근통제 조치를 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 침입에 취약한 상태로 관리·운영된 것으로 드러났다. 인터넷·관리·코어·사내망을 동일한 네트워크로 연결하여 운영하면서 국내·외 인터넷망에서 SK텔레콤 내부 관리망 서버로의 접근을 제한없이 허용했다. 또 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도 적절한 후속 점검을 하지 않아 이번 사고를 방지할 기회를 놓친 사실이 확인됐다.

사진=개인정보보호위원회

접근권한 관리 소홀 사실도 드러났다. 서버 약 2365개의 ID·비밀번호 등 계정정보 약 4899개가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다.

과거에 드러난 취약점에 대한 보안 업데이트를 시행하지 았았던 점도 적발됐다. 이번 사고에서 해커가 악성프로그램 BPF도어 설치에 활용한 운영체제 보안 취약점은 2016년 10월에 이미 보안 경보가 발령, 패치가 공개된 바 있다. SKT는 이를 인지하고 있었으나 2025년 4월 유출 사실 발견 당시까지 보안 업데이트를 실시하지 않은 것으로 조사됐다. 2020년부터 상용 백신 프로그램으로 해당 취약점의 실행 사실도 탐지했으나 후속 조치도 소홀히 했다.

아울러 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고 평문으로 HSS DB 등에 저장한 점도 확인됐다. SK텔레콤은 2022년경 언론에서 유심 복제 등 이슈를 제기하며 암호화 조치를 검토하면서 다른 통신사의 암호화 사례를 확인했음에도 적절한 조치를 하지 않은 사실이 드러났다.

이밖에도 유출 사고가 발생한 인프라 영역에 CPO의 관리·감독이 사실상 이루어지지 않았고, 지난 4월 19일경 개인정보 유출 사실을 인지하고도 법령에서 정한 72시간 내 유출된 이용자를 대상으로 그 사실을 통지하지 않았다. SK텔레콤이 유출 확정 통지를 실시한 것은 3달여 뒤인 7월 28일이다.

개보위, 재발방지 총력...9월 초 안전관리 강화안 발표

개보위는 이번 조사·처분으로 사회 전반에 개인정보 보호의 중요성이 다시 한번 환기될 것으로 기대 중이다. 아울러 다른 기업들에게도 개인정보 관리체계 강화 및 예방적 보호 조치 마련에 대한 경각심을 줄 것으로 예상했다. 개보위는 내달 초 개인정보 안전관리 체계 강화방안을 마련해 발표할 예정이다.

고학수 개인정보위 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"며 "나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다"고 말했다.

한편 개보위는 개인정보 유출 경위도 공개했다. TF 조사에 따르면 2021년 8월 6일 해커는 인터넷과 연결된 SK텔레콤 관리망 서버에 접근해 원격제어 프로그램을 설치했다. 이후 원격으로 접속한 관리망에서 평문으로 저장된 계정정보를 획득했다.

2022년 6월 15일 해커는 ICAS 내 2대 서버에 접근해 초기침투와 동일한 운영체제 취약점을 이용, 관리자 권한을 획득한 뒤 서버에 BPF도어 등 악성프로그램을 감염시켰다. 이를 통해 추가 거점을 확보했다.

2025년 4월 18일 해커는 이미 설치된 악성프로그램을 이용해 외부에서 HSS DB에 명령어를 입력했고, HSS DB에 저장된 이용자 개인정보를 조회해 파일로 추출한 뒤 압축해 외부로 유출했다.

감염된 ICAS 서버에는 이용자의 이름, 생년월일, 주소, 이메일, 단말기 식별번호(IMEI) 등이 임시 저장됐으나 해당 서버 방화벽 로그 기록을 4개월만 보관해 그 이전 기간(2022년6월~2024년12월)에 대한 유출여부는 확인하지 못했다.

임경호 기자 lim@techm.kr

<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>