SK텔레콤(SKT)이 대규모 개인정보 유출 사고로 개인정보보호위원회로부터 역대 최대 규모의 과징금을 부과받았다.
개인정보위는 지난 27일 전체회의를 열고 SKT에 과징금 1347억9100만 원과 과태료 960만 원을 부과했다고 28일 밝혔다.
이번 과징금 규모는 개인정보 유출 사건 중 최대치로 기록된다.
개인정보위 조사에 따르면 SKT는 LTE와 5G 서비스를 이용하는 전체 가입자 2324만4649명의 개인정보를 유출했다.
유출된 정보에는 휴대전화번호, IMSI(가입자식별번호), 유심 인증키(Ki·OPc) 등 총 25종의 민감한 정보가 포함됐다.
특히 유심 인증키는 암호화되지 않은 채 평문으로 저장돼 있었으며, 해커는 이를 원본 그대로 확보할 수 있었다.
이는 유심 복제나 불법 사용으로 이어질 수 있는 치명적인 보안 위협이다.
해커는 2021년 8월 SKT 내부망에 최초 침투해 악성 프로그램을 설치했고, 이후 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 마련했다.
올해 4월 18일에는 홈가입자서버(HSS) 데이터베이스(DB)에서 9.82GB 분량의 개인정보를 탈취한 사실이 확인됐다.
개인정보위는 SKT가 인터넷망과 내부 관리망을 구분하지 않고 운영했으며, 관리망 서버 접근 제한을 두지 않아 보안이 매우 취약했다고 지적했다.
또한 SKT는 침입탐지시스템 로그를 확인하지 않았고, 해커의 비정상 접속을 인지하고도 적절한 점검을 하지 않았다.
2016년 10월 보안 경보가 발령된 운영체제(OS) 취약점도 패치를 적용하지 않고 방치한 사실이 드러났다.
이로 인해 해커는 다수 서버(약 2365대)의 계정정보가 저장된 관리망 서버에 접근할 수 있었으며, 비밀번호 입력 절차 없이 개인정보를 조회할 수 있었다.
개인정보위는 이번 사건의 근본적인 원인이 SKT의 기본적인 보안 조치 미비와 관리 소홀에 있다고 강조했다.
이에 따라 SKT에 대해 전사적인 개인정보 관리 체계 정비, 보안 점검 강화, 재발 방지 대책 마련을 명령했다.
고학수 개인정보보호위원장은 “대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식해야 한다"면서 "개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.
개인정보위는 오는 9월 초 대규모 개인정보 처리자에 대한 관리·감독 강화 방안을 추가 발표할 예정이다.
배동현([email protected]) 기사제보
댓글을 남기려면 로그인 해주세요.