[컨슈머와이드-강진일 기자] 28일 개인정보보호위원회(이하 개인정보위)가 해킹사고로 체 이용자 2천300만여 명의 개인정보를 털린 SK텔레콤(이하 SKT)에 대해 역대 최대 과징금 1천347억 9천100만 원과 과태료 960만 원을 각각 부과했다. 이에 대해 SKT는 유감을 표하고 향후 의결서 수령 후 면밀히 검토해 입장을 정할 예정임을 분명히 했다. 행정소송을 제기할 수 있다는 소리다. 과연 SKT가 어떤 선택을 할지 주목된다. 개인정보에 가치를 두고 있는 통신소비자라면 어떤 것이 가치소비인지 한 번 따져볼 필요가 있다. 

이날 SKT 관계자는 컨슈머와이드의 취재에서 “이번 결과에 무거운 책임감을 갖고 있다”면서 “모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것”이라고 밝혔다.

그러면서 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라면서 “향후 의결서 수령 후에 내용을 면밀히 검토하여 입장 정할 예정"이라고 이번 개인정보위에 대해 유감을 표했다.

과징금 규모는 개인정보위가 2020년 출범 이후 부과한 과징금 처분 중 가장 크다. 과연 SKT가 개정정보위가 부과한 과징금과 과태료 처분을 받아들일지, 아님. 행정소송을 제기할지 향후 행보에 관심이 쏠린다.

한편, 개인정보위는 SKT의 전체 이동통신서비스 매출액을 기준으로 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 '매우 중대한 위반행위'로 판단해 과징금을 결정했다면서 다만 위반행위를 시정하고 피해 회복을 위해 노력한 점 등을 고려해 일부 감경했다고 설명했다.

개인정보위에 따르면 이번 해킹 사고로 SKT의 LTE·5G 서비스 전체 이용자 2천324만 4천649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2천696만 건으로, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다.

해커는 지난 2021년 8월 SKT 내부망에 처음 침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후 해커는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.

개인정보위는 SKT에 대해 ▲접근 통제 조치 소홀 ▲접근권한 관리 소홀 ▲ 보안 업데이트 미조치 ▲ 유심 인증키를 암호화하지 않고 평문으로 저장 등의 안전조치 의무 위반과 개인정보 보호책임자 지정 및 업무 수행 소홀, 개인정보 유출통지 지연 등을 개인정보 보호법 위반으로 판단했다.

개인정보위는 SKT에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 했다.

아울러 현재 일부 고객관리시스템에 대해서만 획득한 개인정보보호관리체계 인증 범위를 이동통신 네트워크 시스템으로 확대해 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고했다.

개인정보위는 SKT 해킹사태와 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.