SK텔레콤, 개인정보 유출로 1,347억 과징금…“보안 미조치·관리 부실 총체적 실패”

기사 메일전송

김만석
등록 2025-08-28 11:43:46

목록으로

역대 최대 과징금에도 예상치의 3분의 1…보안 패치 미이행·유심키 평문 저장 등 중대 과실 드러나

▲ 사진=국가인권위원회

지난 4월 발생한 대규모 개인정보 유출 사고와 관련해 SK텔레콤이 역대 최대 과징금을 부과받았다.

개인정보보호위원회는 27일 제18회 전체회의에서 SK텔레콤이 전체 이용자 약 2,300만 명의 개인정보를 유출했다며 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과하기로 의결했다. 이는 개인정보위가 부과한 역대 최대 규모지만, 당초 최대 3,500억 원으로 예상되던 과징금의 3분의 1 수준이다. 위원회는 SKT 측이 출석해 의견을 개진하고 질의·응답 절차를 거쳐 최종 처분안을 확정했다고 밝혔다.

조사 결과 SK텔레콤은 기본적인 보안 관리조차 방치한 것으로 드러났다. 2016년 보안 취약점 ‘BPF도어’에 대한 패치가 공개됐음에도 유출 당시까지 업데이트를 하지 않았고, 최소 2020년부터 상용 백신 프로그램이 해당 취약점을 탐지했음에도 설치하지 않았다.

또한 2614만 건에 달하는 유심(USIM) 인증키를 암호화하지 않고 평문으로 저장해 해커가 원본 그대로를 확보할 수 있었다. 다른 통신사들이 인증키를 암호화해 관리한 것과 달리, SK텔레콤은 조치를 하지 않아 유출 피해를 예방하지 못했다는 지적이다.

관리·감독 체계도 심각한 허점을 드러냈다. 개인정보보호위원회는 SK텔레콤이 개인정보보호책임자(CPO)의 권한을 IT 영역에만 한정해, 이동통신 인프라 영역에서는 사실상 개인정보 처리 실태조차 파악되지 않았다고 밝혔다. 실제로 이번 유출은 인프라 영역에서 발생했으며, 관리·감독 부재가 사고의 배경이 됐다는 분석이다.

여기에 개인정보위는 유출 사실을 72시간 내에 통보하지 않은 점도 문제 삼았다. SK텔레콤은 사고 발생 석 달이 지난 7월 28일에야 고객들에게 ‘확정 통지’를 발송해, 이용자 피해 예방을 위한 최소한의 의무조차 이행하지 않았다고 비판받았다.

개인정보보호위원회는 “이번 결정이 개인정보 보호의 중요성을 환기시키는 계기가 되길 바란다”며 “대규모 개인정보 처리자에 대한 관리·감독 방안을 마련해 다음 달 발표할 예정”이라고 밝혔다.