27일 전체회의 열고 조사 결과·처분 발표

악성코드 다수 설치…사전 예방 기회 놓쳐

고학수 "보안, 필수적인 투자로 인식하길"

SK텔레콤이 지난 4월 해킹 사태로 인한 개인정보 유출로 정부로부터 과징금 약 1348억원을 부과받았다. 개인정보 보호법 위반 과징금으로는 사상 최대 규모다. SKT는 암호화, 백신 설치, 보안 업데이트 등 기본적인 보안 조치에 소홀했고 개인정보보호책임자(CPO)의 관리·감독 권한도 제한적이었던 것으로 드러났다.

개인정보보호위원회는 27일 전체회의를 열고 SKT에 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다. 2022년 구글·메타에 총 1000억원을 부과한 이후 역대 최대 금액이다.

이번 사태에 대해서 개인정보위는 과징금을 산정할 때 판단 기준 중에 최고 수준인 '매우 중대한 위반'으로 결정했다. 과징금은 매출액의 3% 이내에서 부과할 수 있으며, 유출과 관련이 없는 매출액은 제외할 수 있다.

고학수 개인정보위 위원장은 "회사가 몇년에 걸쳐서 취약 상태에 노출돼있었고, 굉장히 광범위한 종류의 취약점이 있었다"며 "고시의 여러가지 항목을 위반해 '매우 중대함'으로 결론났다"고 설명했다.

개인정보위는 3개월간의 집중조사를 통해 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출된 것으로 확인했다.

해커가 SKT 내부망에 최초로 침투한 시점은 2021년 8월로 다수 서버에 악성프로그램을 설치했고, 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후 지난 4월 18일 홈가입자서버(HSS) 데이터베이스에 저장된 이용자의 개인정보를 외부로 유출했다. HSS란 가입자의 이동통신망 접속을 위한 인증시스템을 말한다.

개인정보위는 이번 사태가 "SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생했다"면서 "인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법 침입에 매우 취약한 상태로 관리됐다"고 밝혔다.

SKT, 접근 통제·불법 유출 시도 탐지 소홀

SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결하여 운영하면서, 국내외 인터넷망에서 SKT 내부 관리망 서버로의 접근을 제한없이 허용했다. 또한 관리망 서버는 이번 유출 사고가 발생한 HSS와 상호접속이 불필요함에도 이를 허용해 해커가 인터넷망에서 HSS까지 접속해 유심 정보 등을 외부로 전송할 수 있었다.

SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다. 특히 SKT는 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 사전에 방지할 기회를 놓친 사실이 확인됐다.

SKT 계정정보(아이디, 비밀번호)가 저장된 파일을 관리망 서버에 암호 설정 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다. 이에 해커는 획득한 계정정보를 활용하여 관리망 서버에 접속, 악성프로그램을 설치하고 개인정보를 조회·추출할 수 있었다.

보안 업데이트·백신 설치 등 관리 미비…CPO 권한 제한

SKT는 기본적인 보안 업데이트에도 제대로 하지 않았다. 해커가 악성프로그램 설치에 활용한 운영체제의 보안 취약점(DirtyCow)은 2016년 10월에 이미 보안 경보가 발령됐고, 보안 패치가 공개된 바 있다. SKT는 이를 인지하고 있었음에도 2016년 11월에 이러한 보안 취약점을 가진 OS를 설치했고, 지난 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.

2020년부터 각종 상용 백신 프로그램은 해당 취약점의 실행을 탐지하고 있었으나 SKT는 2025년 4월까지 이를 설치하지 않았다. 백신 미설치를 대체하는 보안 조치마저도 철저히 하지 않아 결과적으로 이번 유출 사고를 막지 못했다.

또 유심 인증키 2614만4363건을 암호화하지 않고 평문으로 저장한 탓에 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다. SKT는 LG유플러스가 2011년, KT는 2014년에 유심 인증키를 암호화해 저장하고 있음을 확인했음에도, 이를 조치하지 않아 유출 피해를 예방하지 못했다.

이번 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이뤄지지 않은 것으로 확인됐다. 그 밖에 고객에 유출 통지를 뒤늦게 해 피해 확산 방지를 소홀히 한 행위에 대해 과태료 960만원을 부과하기로 개인정보위는 결정했다.

개인정보위는 조사 결과와 처분 방향에 대해 위원들간 총 4차례의 사전 검토회의를 거쳤고, 전체회의 때 SKT 관계자가 출석해 의견을 전달하고 질의·응답 등을 거친 후 최종 처분안을 확정했다.

개인정보위는 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령했다.

고학수 개인정보위 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"고 말했다.





