고객 개인정보를 유출한 SK텔레콤에 대해 개인정보보호법 위반으로는 역대 최대인 1347억원의 과징금이 부과됐다.
개인정보보호위원회는 조사 결과 SKT의 보안조치 미비와 관리 소홀로 전체 이용자 2324만4649명의 휴대폰 번호와 가입자 식별번호, 유심 인증키 등 25종의 정보가 유출된 것으로 확인됐다고 밝혔다.
개인정보위는 이에 따라 전일 열린 전체회의에서 SKT에 대해 과징금 1347억 9100만원과 과태료 960만원을 부과하고, 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 체계 정비등 재발 방지를 위한 시정조치(안)을 의결했다고 28일 밝혔다.
개인정보위 조사 결과, 해커는 2021년 8월에 처음으로 SKT 내부망에 침투해 여러 서버에 연이어 악성 프로그램을 설치한 뒤 올들어 지난 4월에 DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출한 것으로 확인됐다.
개인정보위는 SKT가 기본적인 안전조치 의무를 다하지 않았고, 해커가 쉽게 침입할 수 있도록 매우 취약한 상태로 시스템을 관리 운영해 사회적 혼란이 컸던 대규모 정보유출 사태가 빚어졌다고 밝혔다.
조사 결과 SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결하여 운영하면서, 인터넷망(국내·외)에서 SKT 내부 관리망 서버로의 접근을 제한없이 허용했다.
또 관리망 서버는 이번 유출 사고가 발생한 핵심 통신 인프라인 HSS(홈 가입자 서버, Home Subscriber Server)와 상호접속이 불필요한데도 이를 허용해 해커가 HSS까지 접속해 DB내 저장된 유심 정보 등을 외부로 전송할 수 있었다.
SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치도 소홀히 한 것으로 파악됐다.
특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다.
접근권한 관리도 소홀해 다수 서버(약 2365개)의 계정정보(ID/비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다.
이에 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 조회·추출할 수 있었다고 개인정보위는 전했다.
개인정보위는 이밖에 보안 업데이트 미조치, 유심 인증키를 암호화하지 않고 평문으로 저장하는 등 관리를 소홀히 해 해커가 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다고 설명했다.
아울러 개인정보 보호책임자 지정과 업무수행 소홀 등 SKT 내부 규정도 다수 위반했으며 개인정보 보호책임자(Chief Privacy Officer, 이하 'CPO')가 유출 사고가 발생한 영역의 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이루어지지 않은 것으로 확인됐다고 개인정보위는 밝혔다.
또 지난 4월 19일 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인해 개인정보 유출 사실을 알고도 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않아 사회적 혼란도 가중됐다고 지적했다.
개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련하여 9월 초 발표할 계획이다.
고학수 개인정보위 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바라며, 나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다"고 말했다.