투데이e코노믹 = 우혜정 기자 | 국내 이동통신 1위 사업자인 SK텔레콤(이하 SKT)이 사상 최악의 해킹 사고로 전체 가입자 2300만여 명의 개인정보를 유출당해 정부로부터 역대 최대 규모의 과징금을 부과받았다.

개인정보보호위원회(개인정보위)는 지난 27일 전체회의를 열고 SKT의 개인정보보호법 위반에 대해 과징금 1347억9100만원과 과태료 960만 원을 부과했다고 28일 밝혔다. 이는 2022년 구글·메타에 각각 부과한 총 1000억원을 넘어서는 금액으로, 개인정보위 출범 이후 최대 규모 제재다.

개인정보위 조사 결과, SKT의 LTE·5G 서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 개인정보가 유출된 것으로 확인됐다. 유출 건수는 휴대전화번호 기준으로 약 2696만 건에 달한다.

해커는 2021년 8월 SKT 내부망에 처음 침투해 서버 여러 대에 악성 프로그램을 설치했고, 2022년 6월에는 통합고객인증시스템(ICAS)까지 장악해 추가 거점을 확보했다. 이후 2025년 4월 18일 홈가입자서버(HSS)에 저장된 9.82GB 분량의 개인정보를 외부로 유출했다.

특히 유심 복제에 악용될 수 있는 인증키 2600만여 건이 암호화 없이 평문으로 저장돼 있었던 점은 보안 관리의 심각한 허점을 드러냈다.

조사에서 SKT의 보안 관리 부실은 총체적이었다. 인터넷·관리·코어·사내망을 동일 네트워크로 운영하면서 외부에서 내부 관리망 서버로 접속을 제한하지 않았고, 관리망 서버와 HSS를 불필요하게 연결해 해커의 침입 경로를 열어줬다.

또한 침입탐지시스템의 이상 로그를 확인하지 않았으며, 2022년 2월 HSS 서버 비정상 접속을 포착하고도 점검을 하지 않아 사고를 막을 기회를 놓쳤다. 계정정보 파일을 암호화하지 않은 채 저장했고, HSS에서는 비밀번호 입력 절차 없이 개인정보를 조회할 수 있게 운영된 사실도 드러났다.

"SKT, 몇 년간 취약 상태에 노출"

보안 업데이트 역시 방치됐다. 해커가 활용한 운영체제 취약점(DirtyCow)은 2016년 이미 보안패치가 공개됐지만 SKT는 2025년 사고 시점까지 업데이트하지 않았다. 각종 상용 백신 프로그램이 취약점 실행을 탐지할 수 있었음에도 이를 설치하지 않은 것으로 확인됐다.

개인정보위는 이번 사태를 “매우 중대한 위반 행위”로 규정했다. 고학수 개인정보위 위원장은 “SKT가 몇 년간 취약 상태에 노출돼 있었고, 여러 항목에서 기본적인 의무를 위반했다”며 “결과적으로 대규모 유출로 이어졌다”고 밝혔다.

또 CPO(개인정보보호책임자)가 개인정보 처리 현황조차 제대로 파악하지 못해 관리·감독이 사실상 이뤄지지 않았던 점도 문제로 지적됐다.

개인정보위는 SKT에 개인정보 처리 체계 전반을 점검·개선할 것을 명령하고, 향후 이동통신사 전반의 안전조치 현황을 면밀히 점검할 계획이다.

고 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 기업들이 보안 예산과 인력을 단순 비용이 아닌 필수 투자로 인식하길 바란다”며 “국민 신뢰를 회복하기 위한 실질적 개선이 필요하다”고 강조했다.