.jpg)
SKT에 과징금 1347억9100만원과 과태료 960만원 부과
“기본적 보안 조치 미비와 관리 소홀로 국민 생활 중대한 영향”
[보안뉴스 강현주 기자] 보안 소홀로 2300만명의 개인정보 유출 사고를 당한 SK텔레콤에 1347억9100만원의 과징금과 960만원의 과태료가 부과됐다. 국내 가입자 1위 통신사의 대규모 해킹 사고인 만큼 역대 최대 규모 과징금이다.
개인정보보호위원회는 27일 제18회 전체회의를 열고, 개인정보 보호 법규를 위반한 SKT에 대한 제재를 의결했다고 28일 밝혔다.
개인정보위는 SKT에 과징금 1347억9100만원과 과태료 960만원을 부과하고, 전반적 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치(안)을 의결했다.
개인정보위는 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 한국인터넷진흥원(KISA·원장 이상중)과 함께 조사에 착수했다.
SKT의 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.
휴대 전화는 개인을 식별 및 인증하고 연결하는 핵심 수단이며 휴대 전화로 각종 서비스의 본인 확인을 하는 것이 일상화됐다. 이번 사고로 이동통신의 신뢰도가 저하되고, 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다.
▲SKT에 1347억원의 과징금이 부과됐다. [자료: 연합]
2016년 취약점 공개된 OS 보안조치 없이 사용 등
이번 사고에서 공격자는 △2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치 △2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치해 추가 거점을 확보 △2025년 4월 18일 홈가입자서버(HSS) DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출했다.
개인정보위는 SKT의 개인정보 보호법 위반 사항으로 △안전조치 의무 위반 △개인정보 보호책임자 지정 및 업무 수행 소홀 △개인정보 유출통지 지연 등을 지적했다.
SKT는 접근통제 조치 소홀과 접근권한 관리 소홀, 보안 업데이트 미조치, 유심 인증키를 암호화하지 않고 평문으로 저장하는 등의 안전조치 의무를 위반했다.
기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태였다고 개인정보위 측은 설명했다.
특히 SKT는 보안 취약점이 이미 2016년에 공개된 운영제체를 보안 조치 없이 그대로 사용했다. 2020년부터 관련 백신들이 상용화됐지만 2025년 4월까지도 이를 설치하지 않았다.
SKT는 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고, 평문으로 HSS DB 등에 저장했다.
이와 함께 SKT는 개인정보 보호책임자(CPO)의 역할은 IT 영역(T월드 등 웹·앱 서비스)에 한정되도록 구성·운영했다. 사고가 발생한 인프라 영역은 CPO의 관리·감독이 사실상 이루어지지 않은 것으로 확인됐다.
또한 SKT는 개인정보 유출 사실을 인지한 이후 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않았다. 개인정보위는 즉시 유출통지를 진행할 것을 긴급 의결(5.2)했다. 하지만 SKT는 5월 9일 유출 ‘가능성’에 대해 통지했으며, 7월 28일에서야 유출 ‘확정’ 통지를 했다. 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않음에 따라 과태료 960만원이 부과된 것이다.
▲SKT 악성프로그램 감염 및 개인정보 유출 경위 [자료: 개인정보위]
CPO 권한 확대·ISMS-P 이동통신 네트워크로 확대 권고
개인정보위는 이와 함께, SKT에 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화할 것을 시정명령했다. 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것도 시정명령했다.
현재 일부 고객관리시스템(T월드 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대하여 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고하였다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.
한편, 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.
[강현주 기자(jjoo@boannews.com)]
“기본적 보안 조치 미비와 관리 소홀로 국민 생활 중대한 영향”
[보안뉴스 강현주 기자] 보안 소홀로 2300만명의 개인정보 유출 사고를 당한 SK텔레콤에 1347억9100만원의 과징금과 960만원의 과태료가 부과됐다. 국내 가입자 1위 통신사의 대규모 해킹 사고인 만큼 역대 최대 규모 과징금이다.
개인정보보호위원회는 27일 제18회 전체회의를 열고, 개인정보 보호 법규를 위반한 SKT에 대한 제재를 의결했다고 28일 밝혔다.
개인정보위는 SKT에 과징금 1347억9100만원과 과태료 960만원을 부과하고, 전반적 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치(안)을 의결했다.
개인정보위는 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 한국인터넷진흥원(KISA·원장 이상중)과 함께 조사에 착수했다.
SKT의 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다.
휴대 전화는 개인을 식별 및 인증하고 연결하는 핵심 수단이며 휴대 전화로 각종 서비스의 본인 확인을 하는 것이 일상화됐다. 이번 사고로 이동통신의 신뢰도가 저하되고, 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다.
▲SKT에 1347억원의 과징금이 부과됐다. [자료: 연합]
2016년 취약점 공개된 OS 보안조치 없이 사용 등
이번 사고에서 공격자는 △2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치 △2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치해 추가 거점을 확보 △2025년 4월 18일 홈가입자서버(HSS) DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출했다.
개인정보위는 SKT의 개인정보 보호법 위반 사항으로 △안전조치 의무 위반 △개인정보 보호책임자 지정 및 업무 수행 소홀 △개인정보 유출통지 지연 등을 지적했다.
SKT는 접근통제 조치 소홀과 접근권한 관리 소홀, 보안 업데이트 미조치, 유심 인증키를 암호화하지 않고 평문으로 저장하는 등의 안전조치 의무를 위반했다.
기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태였다고 개인정보위 측은 설명했다.
특히 SKT는 보안 취약점이 이미 2016년에 공개된 운영제체를 보안 조치 없이 그대로 사용했다. 2020년부터 관련 백신들이 상용화됐지만 2025년 4월까지도 이를 설치하지 않았다.
SKT는 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고, 평문으로 HSS DB 등에 저장했다.
이와 함께 SKT는 개인정보 보호책임자(CPO)의 역할은 IT 영역(T월드 등 웹·앱 서비스)에 한정되도록 구성·운영했다. 사고가 발생한 인프라 영역은 CPO의 관리·감독이 사실상 이루어지지 않은 것으로 확인됐다.
또한 SKT는 개인정보 유출 사실을 인지한 이후 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않았다. 개인정보위는 즉시 유출통지를 진행할 것을 긴급 의결(5.2)했다. 하지만 SKT는 5월 9일 유출 ‘가능성’에 대해 통지했으며, 7월 28일에서야 유출 ‘확정’ 통지를 했다. 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않음에 따라 과태료 960만원이 부과된 것이다.
▲SKT 악성프로그램 감염 및 개인정보 유출 경위 [자료: 개인정보위]
CPO 권한 확대·ISMS-P 이동통신 네트워크로 확대 권고
개인정보위는 이와 함께, SKT에 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화할 것을 시정명령했다. 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것도 시정명령했다.
현재 일부 고객관리시스템(T월드 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대하여 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고하였다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.
한편, 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)