시사>

'SKT 해킹사고' 최대 과징금 왜?…"매우 중대한 위반행위"(종합)

연합뉴스입력
38
'구글·메타' 1천억 상회…개인정보위 "대규모·핵심정보·장기간 유출" 최대 3천억대 과징금 예측보단 적어…"피해회복 노력 등 감경 반영"
개인정보위, SKT 제재안 심의(서울=연합뉴스) 김성민 기자 = 서울 시내 한 SK텔레콤 대리점. 2025.8.27 ksm7976@yna.co.kr

(서울=연합뉴스) 양정우 기자 = 개인정보보호위원회가 최악의 해킹사고로 전체 이용자 2천324만명의 개인정보를 유출한 SK텔레콤(이하 SKT)에 역대 최대 과징금인 1천348억원을 부과했다.

이런 제재 수위는 SKT가 기본적인 안전조치조차 취하지 않아 초대형 해킹 사고를 초래했다는 판단에 따른 것이다.

개인정보위의 역대 과징금 최대액은 2022년 9월 구글(692억원)과 메타(308억원)에 부과한 1천억원이었다. 두 글로벌 기업은 고객 동의 없이 행태정보를 수집하다 제재 처분을 받았다.

SKT처럼 개인정보 유출 사고에 따른 최대 과징금은 2024년 5월 카카오에 내린 제재였다. 카카오는 오픈채팅을 통해 개인정보를 유출했다가 151억원의 과징금을 부과받은 바 있다.

개인정보위는 28일 SKT에 과징금 약 1천348억원을 부과하는 내용의 전체회의 의결안을 설명하며 SKT의 개인정보보호법상 위반사항을 조목조목 지적하고 시정을 촉구했다.

개인정보위는 올해 4월 SKT 유출신고를 접하고 사안의 중대성을 고려해 한국인터넷진흥원과 태스크포스(TF)를 꾸려 이용자 정보 유출 경위와 내용 등을 확인했다.

조사결과 해커는 2021년과 2022년 SKT 내부망에 침투해 해킹 거점을 마련하고 2025년 4월 서버에서 이용자 개인정보 9.82GB를 외부로 유출했다.

국내 1위 이동통신기업이 해커의 공격 시도에 장기간 노출됐고, 암호화되지 않은 정보가 탈취돼 전체 이용자 정보가 유출된 것은 기본적인 보안조치조차 하지 못한 결과로 분석됐다.

개인정보위는 ▲ 접근통제 조치 소홀 ▲ 접근권한 관리 소홀 ▲ 보안 업데이트 미조치·백신 미설치 ▲ 유심 인증키 미암호화 평문 저장 등을 해킹사고의 주된 원인으로 꼽았다.

SKT는 2022년께 유심 복제 등의 이슈가 제기되자 내부적으로 암호화 조치를 검토하며 타 통신사들이 유심 인증키(Ki)를 암호화해 저장하고 있다는 것을 확인했다.

하지만 SKT는 이 같은 조치를 하지 않았고, 결국 유출 피해를 예방하지 못한 게 개인정보위 등의 조사로 확인됐다.

SKT는 내부 관리계획 수립·시행과 점검 소홀, 접속기록 미보관 등 안전조치의무를 준수하지 않았고, SKT가 자체적으로 마련한 내부규정도 다수 위반한 것으로 파악됐다.

사실상 이번 해킹사고의 최대 피해자는 자사 고객임에도 SKT는 해킹사고 인지 이후에도 이용자에게 즉시 해야 할 유출통지를 하지 않았다. 국민적 분노와 우려가 커진 이유다.

SKT 개인정보 유출사고 제재처분 의결 관련 브리핑하는 고학수 위원장(서울=연합뉴스) 이정훈 기자 = 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고 제재처분 의결과 관련해 브리핑하고 있다. 개인정보보호위원회는 전날 전체회의를 열어 해킹사고로 2천300여만명의 고객 정보를 유출한 SK텔레콤에 역대 최대 규모인 과징금 1천347억 9,100만 원을 부과하기로 의결했다. 2025.8.28 uwg806@yna.co.kr

개인정보위는 지난 5월 2일 SKT에 유출통지를 즉각 진행할 것을 긴급 의결했으나 SKT는 일주일이 지난 같은 달 9일에야 유출 확인이 아닌 '가능성'을 이용자에게 통지했다.

이후 사고 석 달 만인 7월 28일에서야 고객에게 유출 확정 통지를 하는 등 개인정보 유출 시 이용자 피해예방을 위해 개인정보보호법에서 규정한 최소한의 의무조차 이행하지 않았다고 개인정보위는 지적했다.

개인정보위는 "SKT는 올해 4월 19일께 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인해 개인정보 유출 사실을 인지했음에도, 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않아 이로 인한 사회적 혼란이 가중됐다"고 지적했다.

이번 개인정보위 처분에 앞두고 위원회가 SKT에 최대 3천억원대 과징금 처분을 내릴 수 있다는 관측이 나오기도 했다.

개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있다. 정보 유출과 관련이 없는 매출액은 제외하지만, 기업이 직접 위반 행위와 관련 없는 매출액을 증명해야 한다.

지난해 SKT의 무선통신사업 매출(12조7천700억원)을 적용할 경우 최대 3천억원대 중반까지 과징금이 나올 수 있을 것으로 추정됐다.

그간 SKT에 엄중한 제재를 강조해온 개인정보위는 이번 과징금 산정 이유를 설명했다.

개인정보위, SK텔레콤 개인정보 유출사고 제재처분 의결(서울=연합뉴스) 이정훈 기자 = 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고 제재처분 의결과 관련해 브리핑하고 있다. 2025.8.28 uwg806@yna.co.kr

다수의 안전조치의무 위반 사항이 유출사고의 직접적 원인이 된 점, 가입자 인증에 필요한 유심 인증키 등 핵심 정보가 유출된 점, 약 2천300만 명의 대규모 개인정보가 유출된 점 등을 '매우 중대한 위반행위'로 판단했다고 개인정보위는 제시했다.

또 SKT의 위반행위 기간이 2년 이상 장기간 지속된 점 등을 고려해 일부 가중했다면서, SKT가 유출사고 관련 위반행위를 시정한 점, 이용자의 피해 회복을 위해 노력한 점, 기타 개인정보 보호 노력 등을 고려해 일부 감경을 적용했다고 덧붙였다.

고학수 개인정보위원장은 이날 정부서울청사에 연 브리핑에서 "과징금 기준 액수, 감경 등 각각 단계의 구체적인 액수를 설명하기는 곤란하다"면서 "피해보상 노력 등을 고려해서 감경했고, 이런 단계를 거쳐서 최종 과징금이 결정됐다"고 말했다.

eddie@yna.co.kr

(끝)

<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>

불타는 뉴스불타는 뉴스

댓글 38

권리침해, 욕설, 특정 대상을 비하하는 내용, 청소년에게 유해한 내용 등을 게시할 경우 운영 정책과 이용 약관 및 관련 법률에 의하여 제재될 수 있습니다.

권리침해, 욕설, 특정 대상을 비하하는 내용, 청소년에게 유해한 내용 등을 게시할 경우 운영 정책과 이용 약관 및 관련 법률에 의하여 제재될 수 있습니다.

인기순|최신순|불타는 댓글|
'SKT 해킹사고' 최대 과징금 왜?…"매우 중대한 위반행위"(종합) (연합뉴스) - 나무뉴스