휴대전화번호, 가입자식별번호, 유심 인증키 등 정보 유출

개인정보위 "안전조치 의무 및 유출 통지 위반"

 

개인정보보호위원회가 SK텔레콤(주)에 대해 안전조치 의무 위반 및 유출 통지 위반으로 과징금 1천347억9천100만원과 과태료 960만원을 부과했다.

 

개보위는 지난 27일 제18회 전체회의에서 의결한 내용을 이날 공식 발표했다.

 

개보위는 3개월여간 TF 운영을 통해 이동통신 관련 핵심 네트워크·시스템에 대한 관리 소홀로 2천300만명의 주요 디지털 개인정보가 유출된 것으로 최종 결론 내렸다.

 

정확한 피해 규모는 LTE·5G 서비스 전체 이용자 2천324만4천649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.

 

해킹 과정을 보면, 2021년부터 치밀하게 준비됐다. 해커는 2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했으며, 2022년 6월 ICAS(통합고객인증시스템) 내 악성 프로그램을 설치해 추가 거점을 확보했다. 이후 올해 4월18일 HSS(홈가입자서버) DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출한 것으로 밝혀졌다.

 

개보위는 SK텔레콤이 ▶안전조치 의무 위반(접근통제조치 소홀, 접근권한 관리 소홀, 보안 업데이트 미조치, 유심 인증키를 암호화하지 않고 평문으로 저장) ▶개인정보 보호책임자 지정 및 업무수행 소홀 ▶개인정보 유출 통지 지연 등 개인정보보호법 주요 사항을 위반했다고 밝혔다.

 

이에 개보위는 SKT가 국내 1위 이동통신사업자로서 안전조치의무를 소홀히 해 유심정보를 비롯한 개인정보가 유출된 행위에 대해 과징금 1천347억9천100만원을 부과하는 한편, 정보 주체에 대한 유출 통지를 지연시켜 신속한 피해 확산방지를 소홀히 한 행위에 대해 과태료 960만원을 부과하기로 결정했다.

 

아울러 유출 사고 재발 방지를 위해 이동통신서비스 전반의 개인정보 처리현황을 면밀히 파악해 안전조치를 강화하고, 개인정보보호책임자(CPO)가 회사 전반의 개인정보 처리업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령 했다.

 

또한 현재 일부 고객관리시스템(T World 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증범위를 이동통신 네트워크 시스템으로 확대해 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고했다.

 

개보위는 유사사례가 발생하지 않도록 대규모 개인정보처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월초 발표할 예정이다.