[IE 산업] 개인정보보호위원회(개인정보위)가 대규모 고객 정보 유출 사고를 일으킨 SK텔레콤(SKT)에 역대 최대인 약 1348억 원의 과징금을 부과했다.

28일 개인정보위에 따르면 이들은 전날 제18회 전체회의를 개최해 개인정보보호법상 안전조치 의무와 유출 통지 의무를 위반한 SKT에 과징금 1347억9100만 원과 과태료 960만 원을 부과하는 제재 처분을 의결했다.

이는 지난 4월22일 SKT가 비정상 데이터 외부 전송을 인지, 이를 개인정보위에 신고하며 시작됐다. 신고 접수 직후 개인정보위는 한국인터넷진흥원(KISA)와 합동 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호 법령 위반 여부 등을 조사했다.

약 3개월 동안 조사한 결과 합동 TF는 SKT가 핵심 네트워크와 시템 관리 소홀로 약 2324만 명의 휴대전화 번호, 가입자식별정보(IMSI), 유심 인증키(Ki) 등 25종의 주요 개인정보가 유출됐다는 사실을 밝혀냈다. 특히 인증키 유출로 유심 복제 가능성에 대한 사회적 우려를 빚어냈다.

개인정보위는 SKT가 지난 2022년 2월 해커가 HSS 서버에 접속한 사실을 인지했음에도 비정상 통신 여부나 추가 악성 프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다고 판단했다. 또 2020년부터 각종 상용 백신 프로그램을 설치하지 않았고 이를 대체하는 보안 조치마저 이뤄지지 않았다.

개인정보위는 "SKT는 IT 영역과 통신 인프라 영역에서 이동통신 서비스 제공을 위한 개인정보를 처리함에도 개인정보보호책임자(CPO) 역할은 IT 영역에 한정됟록 구성, 운영했다"며 "이에 이번 유출사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못했다"고 지적했다.

더불어 유출 사실 확인 뒤 법정 기한(72시간) 내 통지하지 않아 사회적인 혼란을 키웠다는 점도 문제로 꼽았다. 당시 개인정보위는 SKT에 즉시 유출통지를 진행할 것을 긴급 의결했지만, 이 회사는 지난 5월9일 유출 '가능성' 통지를, 지난달 28에 '확정' 통지를 실시했다. 과태료 960만 원은 이를 지키지 않아 부과된 것.

개인정보위는 "개인정보 보호책임자(CPO)의 실질적 역할 보장, 위탁 관리·감독 철저 등도 포함해 3개월 내 재발 방지 대책 수립·보고하고, 사고 발생 이동통신 네트워크·시스템에 개인정보보호관리체계(ISMS-P) 인증 취득 등 내용의 시정명령과 개선 권고를 내렸다"고 설명했다.

이와 관련해 개인정보위 고학수 위원장은 ""이번 사건을 계기로 기업들이 개인정보 보호를 단순 비용이 아닌 필수 투자로 인식하길 바란다"고 말했다.

한편, 최근 방송통신위원회(방통위)가 올해 말까지 계약 해지를 원하는 이용자의 위약금을 전액 면제하라는 결정을 내리면서 SKT는 이중고를 겪을 것으로 보인다.

/이슈에디코 강민호 기자/