개인정보위원회에서 ‘SK텔레콤 개인정보 유출사고’ 제재처분 의결을 했습니다.
SK텔레콤 사이버 침해사고 제재
어제 진행된 회의에서 개보위에서는 과징금 1347억을 부과하기로 했습니다.
주요 내용은 아래와 같은데요.
▷ 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1,347억 9,100만 원, 과태료 960만 원 부과
▷ 3개월여간 집중조사 TF 운영 통해, “이동통신 관련 핵심 네트워크‧시스템에 대한 관리 소홀로 2,300여만 명의 주요 디지털 개인정보(USIM 정보 등) 유출” 결론
※ 인증키(Ki)도 유출되어 USIM 복제에 대한 사회적 우려가 컸으며, 조사 과정에서 “방화벽 설정 미흡으로 외부 침입 취약, 서버 계정정보(ID/PW) 관리 부실, 암호화 미실시, 악성프로그램 방지 소홀 등” 보호법 위반사항 확인
▷ 향후 개인정보보호 강화 위해 “CPO의 실질적 역할 보장, 위탁 관리‧감독 철저 등도 포함해 3개월 내 재발방지 대책 수립‧보고, 사고 발생 이동통신 네트워크‧시스템에 대한 ISMS-P 인증 취득” 내용의 시정명령‧개선권고 병행
SK텔레콤 사이버 침해사고 개요
▷ 다음 달 초 대규모 처리자의 개인정보보호‧보안 관련 투자 확대 유도 위해 제도개선‧인센티브 체계 개편 등을 담은 “개인정보 안전관리체계 강화 종합대책” 발표
해커는 2021년 8월 6일에 최초 접근한 것으로 알려져 있습니다. 이 때 해커는 SK텔레콤 서버에 무단으로 해킹하여 원격 제어 프로그램을 설치하고, 관리망 서버에 접속하여 2,365개의 서버와 4,899개의 계정 정보(ID/PW)를 평문(암호화되지 않은 상태)으로 저장했습니다.
그 뿐만 아니라 코어망 서버에 침입한 해커는 리눅스 운영체제(OS)의 보안 취약점인 ‘DirtyCow’를 이용해 관리자 권한을 획득하여 서버에 대한 장악권을 가지게 됩니다.
이후 해커는 이미 설치된 악성 프로그램을 이용해 외부에서 HSS DB에 직접 명령어를 입력했습니다. 이를 통해 해커는 HSS DB에 저장된 이용자 개인정보를 조회하고, 이를 파일로 추출한 뒤 압축하여 외부로 빼돌린 것으로 파악되었습니다.
유출 정보: 유출된 정보에는 이용자의 이름, 생년월일, 주소, 이메일, 단말기 식별번호(IMEI) 등이 포함되어 있었습니다.
여기에 또 SKT는 해킹이 발생한 서버의 방화벽 로그 기록을 4개월만 보관했기 때문에, 2022년 6월부터 2024년 4월 사이의 정확한 유출 정황은 확인했지만, 그 이전 기간(2022년 6월 이전)의 유출 여부는 파악할 수 없었다는 단점을 가지게 됩니다.
특히 이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 ’16. 10월에 이미 보안 경보가 발령되었고, 보안 패치가 공개된 사항이었는데요. SKT는 이를 인지하고 있었음에도, ’16. 11월 이러한 보안 취약점을 가진 OS를 설치하였으며, ’25.4.월 유출 당시까지도 보안 업데이트를 실시하지 않았습니다.
개인정보위는 SKT가 국내 1위 이동통신사업자로서 안전조치의무를 소홀히 하여 유심정보를 비롯한 개인정보가 유출된 행위에 대해 과징금 1,347억 9,100만 원을 부과하는 한편, 정보 주체에 대한 유출 통지를 지연하여 신속한 피해 확산방지를 소홀히 한 행위에 대해 과태료 960만 원을 부과하기로 결정하였다.
아울러, 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악하여 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령하였습니다.
SK텔레콤 과징금 관련 말
역대 최고급의 사건이 발생한 것인데요. 다만 개인정보를 이용하거나 이를 통해 이익을 확보한 것이 아닌데 과징금이 너무 과하다는 생각이 들었습니다.
실제로 김승주 고려대학교 정보보호대학원 교수는 이날 페이스북에 “과징금은 부과하지 말라는 것이 아니다. 그 규모가 타당한지 여부는 반드시 따져봐야 한다”며 “2022년 이용자 동의 없이 개인정보 수집해 온라인 광고에 활용한 구글에는 629억원의 과징금을 부과했다. 이를 넘어서는 과징금을 해킹 피해 기업에 부과하는 것이 옳은가”라고 반문하기도 했는데요.
통신업계에서는 타사 사례와 비교했을 때도 형평성이 필요하다고 언급합니다. LG유플러스의 경우 IMSI, IMEI, USIM 고유번호 등이 유출됐지만 전체 이동통신 매출을 기준으로 삼지 않고 정보가 유출된 시스템과 관련된 서비스 매출만을 기준으로 68억원의 과징금이 부과됐다는 이유입니다.
과연 이번 과징금 사건 역시 행정소송으로 들어갈지는 궁금하네요.