
SK텔레콤의 유심정보 유출사고로 인한 개인정보보호위원회(이하 개인정보위)의 제재는 과징금 1347억 9100만원, 과태료 960만원이었다. 28일 개인정보위는 ‘SK텔레콤 개인정보 유출사고’ 제재처분을 의결, ‘안전조치 의무 위반 및 유출 통지 위반’을 명목으로 이와 같은 징계를 내렸다.
개인정보위는 SKT의 개인정보(USIM 정보) 유출 사고에 대한 조사를 올해 4월 22일에 시작했다. 개인정보위는 SKT 사건에 대한 집중조사 태스크포스(TF)를 운영, 이동통신 관련 핵심 네트워크·시스템에 대한 관리 소홀로 2300여만명의 USIM 정보 등 주요 디지털 개인정보가 유출된 것으로 결론을 내렸다.
조사에 따르면 해킹 시작일은 최소 2021년 8월 초, 악성코드 발견일은 2022년 2월 말인 것으로 알려졌다. 특히 이번 사고는 단순히 유심 정보 유출만이 아닌 인증키(Ki)도 유출됐으며, 이는 USIM을 복제할 수 있는 만큼 추가 피해에 대한 사회적 우려도 컸다.
TF팀은 조사 과정에서 △방화벽 설정 미흡으로 외부 침입 취약 △서버 계정정보(아이디, 비밀번호) 관리 부실 △암호화 미실시 △악성프로그램 방지 소홀 등 개인정보 보호법의 위반사항도 함께 확인했다.
◇개인정보위, 유출 인지 이후 대응방안은?
개인정보위는 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출을 신고하면서 조사에 착수했다. 사건의 중대성을 감안해 개인정보위는 신고 접수가 들어온 당일에 한국인터넷진흥원(KISA)과 공동으로 TF를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했다.
TF는 개인정보위에서 조사관 4인과 사내변호사·회계사 3인 등 7명이, KISA에서 조사관 7인 등 총 14명으로 구성됐다. 조사방식은 현장조사, 서면조사 및 디지털 증거수집 등을 통해 SKT 주요 개인정보처리시스템 대상 유출 여부와 유출 규모, 보호법상 안전조치의무 준수 여부 등을 집중적으로 조사했다.
◇SKT 전체 이용자 2322만명·25종 정보 유출돼
TF의 조사결과 SKT는 자사가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템이 해킹돼 LTE와 5G 서비스 전체 이용자 2324만 4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.
조사결과, 해커는 ①2021년 8월, SKT 내부망에 최초로 침투해 다수 서버에 악성 프로그램을 설치했고, ②2022년 6월에는 ICAS(통합고객인증시스템) 내 악성프로그램을 설치해 추가 거점을 확보, ③그 이후 올해 4월 18일에 가입자의 이동통신망 접속을 위한 인증시스템인 HSS(Home Subscriber Server, 홈가입자서버) DB에 저장된 이용자의 개인정보 총 9.82GB를 외부로 유출했다.
◇‘안전조치 의무 위반’ 등 법률 위반사항 명시
SKT의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 확인되었다. 조사 과정에서 확인된 주요 위반 사항은 크게 △안전조치 의무 위반 △개인정보 보호책임자 지정 및 업무 수행 소홀 등 △개인정보 유출통지 지연 등 3가지로 나눠 정리했다.
첫 번째로 ‘안전조치 의무 위반’에서는 다시 △접근통제조치 소홀 △접근권한 관리 소홀 △보안 업데이트 미조치 등 △유심 인증키를 암호화하지 않고 평문으로 저장 등의 사실이 확인됐다. 먼저 ‘접근통제조치 소홀’에서 SKT는 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 불법적인 침입에 취약한 상태로 관리·운영되고 있었다. 또 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다.
‘접근권한 관리 소홀’에서 SKT는 약 2365개 분량 다수 서버의 계정정보(아이디·비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다.

‘보안 업데이트 미조치 등’에서는 해커가 악성프로그램 BPFDoor 설치에 활용한 운영체제(OS) 보안 취약점 ‘DirtyCow’은 10년 전인 2016년 10월에 이미 보안 경보가 발령됐고, 관련 패치가 공개됐다. 하지만 SKT는 이를 인지하고 있었음에도 한달 뒤인 2016년 11월에 이 보안 취약점을 가진 OS를 설치, 올해 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.
또 각종 상용 백신 프로그램은 최소 2020년부터 해당 취약점의 실행을 탐지하고 있었으나, SKT는 올해 4월까지 이를 설치하지 않았으며, 백신 미설치를 대체하는 보안 조치마저도 소홀히 해 이번 해킹 사고에 대응하지 못했다.
‘유심 인증키를 암호화하지 않고 평문으로 저장’한 것도 문제가 됐다. SKT는 가입자 인증과 이동통신 서비스 제공에 필수로 사용되는 인증정보인 유심 인증키(Ki) 2614만 4363건을 암호화하지 않고, 평문으로 HSS DB 등에 저장했다. 이를 통해 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다.
특히 2022년에 언론에서 유심 복제 이슈가 제기되면서 LG유플러스는 2011년부터, KT는 2014년부터 유심 인증키(Ki)를 암호화해 저장하고 있는 것을 인지하고 있었으면서도 이를 조치하지 않아 유출 피해를 예방하지 못한 사실도 확인됐다.

◇CPO 지정·업무 수행 소홀 및 유출통지 지연 등
SKT는 IT 영역과 통신 인프라 영역 모두에서 이동통신 서비스 제공을 위한 개인정보를 처리하면서도 개인정보 보호책임자(Chief Privacy Officer, CPO)의 역할은 IT 영역(Tworld 등 웹·앱 서비스)에 한정되도록 구성·운영했다. 이로 따라 이번 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이뤄지지 않은 것으로 확인됐다.
또 SKT는 올해 4월 19일 무렵 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인, 개인정보 유출 사실을 인지했음에도 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않아 이로 인한 사회적 혼란을 가중시켰다.
개인정보위는 이를 인지하고 5월 2일에 SKT에 즉시 고객을 대상으로 유출통지를 진행할 것을 긴급 의결했다. 하지만 SKT는 일주일이 지난 5월 9일에 유출 ‘가능성’에 대해서만 통지했으며, 7월 28일에서야 유출 ‘확정’을 통지하는 등 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않았다.
한편 역대 개인정보 유출 과징금이 가장 많이 의결된 기업은 카카오로 2023년 3월에 발생한 오픈채팅 이용자 개인정보 유출로 인해 151억 4196만원과 과태료 780만원을 부과받았다. 그리고 골프존이 2023년 11월에 랜섬웨어 공격으로 인한 개인정보 유출로 과징금 75억원, 과태료 540만원을 부과받기도 했다.
개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초에 발표할 예정이다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”고 말했다. 고 위원장은 이어 “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 강조했다.