[이데일리 윤정훈 기자, 김아름 기자]개인정보보호위원회(위원장 고학수)가 SK텔레콤(017670)의 유심(USIM) 정보 해킹 사태에 대해 역대 최대 규모의 과징금을 부과했다. 위반 행위를 ‘매우 중대’로 판단하고, 지난해 개정된 개인정보보호법상 ‘전체 매출액의 최대 3%’ 규정을 적용한 결과다. 그러나 실제 2차 피해가 확인되지 않은 상황에서 지나치게 무거운 처벌이라는 지적이 나오며, 제도 개선 논란으로 번지고 있다.
“매우 중대” 판단, 역대급 과징금
고학수 개인정보보호위원장은 28일 브리핑에서 “제18회 전체회의에서 SK텔레콤에 과징금 1347억9100만원, 과태료 960만원을 부과했다”고 밝혔다.
개인정보위는 조사 결과 LTE·5G 전체 가입자 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 해킹으로 유출된 사실이 확인됐다. 조사단은 △SKT가 서버 계정정보를 암호화 없이 저장 △홈가입자서버(HSS)에서 인증 절차 없이 개인정보 조회 가능△이미 패치가 공개된 보안 취약점 방치 △2614만 건의 유심 인증키를 평문으로 저장하는 등 기본적인 보안 의무를 소홀히 했다고 지적했다. 특히 다른 통신사가 유심 키 암호화를 시행한 이후에도 SKT는 미조치 상태였다고 밝혔다. 이로 인해 구글(692억원), 메타(308억원), 카카오(151억원), LG유플러스(68억원)을 크게 웃도는 과징금이 책정됐다.
![[이데일리 노진환 기자]4월 22일 한 시민이 SK텔레콤이 T월드 앱에 게시한 정보 유출 사고 관련 사과 안내문을 읽고 있다.](https://thumb.zumst.com/530x0/https://static.news.zumst.com/images/24/2025/08/28/0b969b4218b649908cf3ef6270c5c298.jpg) |
[이데일리 노진환 기자]4월 22일 한 시민이 SK텔레콤이 T월드 앱에 게시한 정보 유출 사고 관련 사과 안내문을 읽고 있다. |
“매우 중대” 판단, 역대급 과징금
고학수 개인정보보호위원장은 28일 브리핑에서 “제18회 전체회의에서 SK텔레콤에 과징금 1347억9100만원, 과태료 960만원을 부과했다”고 밝혔다.
개인정보위는 조사 결과 LTE·5G 전체 가입자 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 해킹으로 유출된 사실이 확인됐다. 조사단은 △SKT가 서버 계정정보를 암호화 없이 저장 △홈가입자서버(HSS)에서 인증 절차 없이 개인정보 조회 가능△이미 패치가 공개된 보안 취약점 방치 △2614만 건의 유심 인증키를 평문으로 저장하는 등 기본적인 보안 의무를 소홀히 했다고 지적했다. 특히 다른 통신사가 유심 키 암호화를 시행한 이후에도 SKT는 미조치 상태였다고 밝혔다. 이로 인해 구글(692억원), 메타(308억원), 카카오(151억원), LG유플러스(68억원)을 크게 웃도는 과징금이 책정됐다.
 |
고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고 제재처분 의결과 관련해 브리핑하고 있다.(사진=연합뉴스) |
SKT 과징금, “과도한 처벌” 논란…정액 과징금 도입 필요성 제기
신용정보법에 따르면 은행이나 카드사가 해킹으로 결제 내역을 유출해도 과징금은 최대 50억 원에 그친다. 그러나 이번 SK텔레콤 사태는 단말기고유식별번호(IMEI)가 유출되지 않아 복제폰 제작이나 본인 인증에 직접적 위험이 없음에도 천억 원대 과징금이 부과돼 ‘과도한 처벌’이라는 비판이 나온다.
김태오 창원대 교수는 “신용정보법은 개인정보 유출 시 정액 과징금(최대 50억 원)만 부과한다”며 “상업적 이득이 없는 해킹 사건에 매출액 기준을 일률적으로 적용하는 것은 합리적이지 않다. 개인정보보호법에서도 정액 과징금 도입을 검토할 필요가 있다”고 지적했다.
형평성 문제도 제기된다. 이성엽 고려대 교수는 “메타와 구글은 동의 없는 개인정보 활용으로 매출을 끌어올렸지만, SKT는 해킹 피해로 오히려 손실을 입은 상황”이라며 “이득이 없는 사건에 사실상 동일한 잣대를 적용한 것은 지나치다”고 꼬집었다.
![[이데일리 김일환 기자]](https://thumb.zumst.com/530x0/https://static.news.zumst.com/images/24/2025/08/28/d3456910d1704c7a965b8915780591eb.jpg) |
[이데일리 김일환 기자] |
자진 신고 위축 우려
기업들은 “이번 처분이 자발적 신고 의지를 꺾을 수 있다”는 우려를 내놓고 있다. 이번 사건의 기준 매출액이 SK텔레콤 전체 무선 매출(약 10조원)로 산정된 만큼, 글로벌 사업을 영위하는 삼성이나 LG가 유사한 해킹 피해를 입을 경우 수천억 원대 과징금이 불가피하다는 것이다.
업계 관계자는 “해킹은 기업이 아무리 투자해도 100% 차단하기 어렵다”며 “보안 강화 노력과 투자 수준을 감안해 과징금을 감경할 수 있는 제도적 장치가 필요하다”고 밝혔다. 현행 법에서도 자진신고 감경이 가능하지만, 유럽일반정보보호법(GDPR)에서처럼 80~90%까지 감경할 수 있는 조문이 없기 때문이다.
결정 과정의 절차적 정당성도 논란이다. 개인정보위는 3개월 조사 후 불과 4개월 만에 과징금을 확정했는데, 사전 검토회의를 4차례했다고 하지만, 위원들이 참여하는 전체회의는 단 한 차례 열렸다. 김도승 전북대 교수(개인정보법학회 회장)는 “과징금 부과 자체는 정당할 수 있으나, 금액 산정요소를 충분히 논의하지 않은 채 확정한 건 사회적 수용성을 떨어뜨린다”고 지적했다.
개인정보위는 ‘법대로 집행했다’는 입장이다. 고학수 위원장은 “기업들이 개인정보 보호를 비용이 아닌 필수 투자로 인식하길 바라며, 이번 조치가 체계 강화를 위한 계기가 되길 기대한다”고 말했다.
SK텔레콤은 “무거운 책임감을 갖고 개인정보 보호를 최우선 가치로 삼겠다”며 “의결서를 검토한 뒤 대응 방침을 정할 것”이라고 밝혔다. 업계는 SKT가 행정소송에 나설 가능성이 크다고 본다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
