[서울타임즈뉴스 = 최남주 기자] SK텔레콤이 유심(USIM) 해킹으로 2300만명에 달하는 가입자 개인정보가 유출된 사실이 확인되면서, 정부로부터 역대 최대 규모의 과징금을 부과받았다. 하지만 SK텔레콤 측은 무거운 책임을 느낀다면서 충분한 소명에도 불구하고 자사의 주장이 반영되지 않았다며 법적 대응을 예고했다. 개인정보보호위원회는 27일 전체회의를 열고 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과했다고 28일 밝혔다. 이는 2022년 구글(692억원), 메타(308억원)에 부과됐던 처분을 뛰어넘는 역대 최고 금액이다.

이번 조치는 SK텔레콤이 2021년 8월 해커의 내부망 침입을 인지하고도 3년 넘게 취약점을 방치한 데 따른 것이다. 해커는 2022년 통합고객인증시스템(ICAS)에 악성 프로그램을 심고, 올해 4월 홈가입자서버(HSS) 데이터베이스에서 9.82GB에 달하는 개인정보를 외부로 빼돌린 것으로 조사됐다. 유출된 정보는 △휴대전화 번호 △가입자식별번호(IMSI) △유심 인증키(Ki·OPc) 등 총 25종에 이르며, 이는 알뜰폰 가입자를 포함한 LTE·5G 이용자 2324만여명 규모다. 특히 유심 인증키는 복제폰 제작에 악용될 수 있어 2차 피해 우려가 제기된다.

개인정보위는 SK텔레콤의 보안 체계 미비를 강하게 질타했다. 서버 2365대의 계정 정보(ID·비밀번호)가 암호화 없이 저장됐고, HSS에서는 별도의 인증 절차 없이 개인정보 조회가 가능했다. 또 SK텔레콤은 2022년 2월 해커의 접속 사실을 확인하고도 비정상 통신 여부와 악성 프로그램 설치 가능성을 점검하지 않아 사전 차단 기회를 놓쳤다.

보안 업데이트도 미흡했다. 해커가 악용한 운영체제 취약점은 이미 2016년에 보안 패치가 배포됐지만 SK텔레콤은 이를 2025년까지도 적용하지 않았다. 반면 경쟁사인 KT와 LG유플러스는 10년 전부터 유심키를 암호화해 관리해 왔다. 또 개인정보보호법상 72시간 내 유출 사실을 이용자에게 통지해야 하지만, SK텔레콤은 4월 19일 외부 유출을 확인하고도 5월 9일에야 ‘가능성’을 알렸고, 확정 통지는 7월 말에서야 완료됐다.

개인정보위는 SK텔레콤에 재발 방지 대책 수립과 개인정보보호관리체계(ISMS-P) 확대 인증, 개인정보보호책임자(CPO) 권한 강화 등을 명령했다. 고학수 개인정보위원장은 “이번 사건은 데이터 경제 시대의 경종”이라며 “개인정보 보호를 단순 비용이 아닌 필수 투자로 인식해야 한다”고 강조했다. SK텔레콤은 “무거운 책임감을 갖고 고객정보 보호 강화를 위한 후속 조치에 만전을 기하겠다”면서도 “조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 법적 대응 가능성을 시사했다.