SKT 역대급 과징금에 “형평성 어긋나” vs “보안에 경종”

과징금 1,347억9,100만원·과태료 960만원 부과
실제 피해 0건, 잠재적 피해도 사전 차단
제재 적용 불균형, 형평성 문제 도마에

SK텔레콤(SKT)이 지난 4월 발생한 대규모 고객 유심(USIM) 해킹 사건으로 개인정보보호위원회로부터 1,000억원대의 과징금 처분을 받았다. 개인정보위 출범 이후 최대 규모의 제재다. 업계에서는 향후 국내 기업의 보안 패러다임을 근본적으로 바꿀 분수령이 될 수 있는 만큼 이번 제재를 긍정적으로 보면서도, 사실상 '비례의 원칙'에 어긋난다는 지적이 적지 않다. 과거 구글·메타가 이용자 동의 없이 개인정보를 영리 목적으로 맞춤형 광고에 활용해 받은 과징금보다 훨씬 큰 금액이 책정됐기 때문이다. 더욱이 이번 사건의 경우 해킹으로 인한 2차 피해가 확인되지 않았다는 점에서 과징금이 지나치게 과도하다는 비판도 나온다.

개인정보위, 역대 최대 과징금·시정명령 의결

28일 개인정보위는 전날 제18회 전체회의에서 SKT의 개인정보 보호법 위반 행위에 대해 과징금 1,347억9,100만원과 과태료 960만원을 부과하고 재발 방지를 위한 시정조치를 의결했다고 발표했다. 이는 개인정보위가 국내 기업에 부과한 역대 최대 규모의 과징금으로, 2022년 구글(692억원)·메타(308억원)에 대한 총 1,000억원 부과를 넘어선 기록이다. 개인정보 유출 사건만 따져도 지난해 카카오톡 오픈채팅방 유출 사건에서 내려진 151억원을 크게 웃도는 수치다.

이번 사건은 SKT 이동통신 핵심 네트워크와 시스템 관리 소홀로 2,300만 명이 넘는 국민의 주요 개인정보가 유출된 중대한 사고다. 개인정보위는 지난 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지해 유출 신고를 하자 즉시 한국인터넷진흥원(KISA)과 합동으로 조사관 변호사 회계사 등으로 구성된 집중조사 태스크포스(TF)를 꾸려 현장조사 서면조사 디지털 증거 수집을 통해 3개월여간 집중 조사에 나섰다.

조사 결과 LTE와 5G 전체 가입자 2,324만4,649명(알뜰폰 포함 중복제거)의 휴대전화번호 가입자식별번호(IMSI) 유심 인증키(Ki OPc) 등 총 25종의 개인정보가 해킹으로 유출된 사실이 확인됐다. 휴대전화가 본인 확인의 핵심 수단으로 활용되는 상황에서 유심 인증키까지 대규모로 빠져나가 사회적 불안과 신뢰 저하가 크게 확산됐다. 특히 SKT는 유심 인증키 2,614만4,363건을 암호화하지 않고 평문으로 저장해 해커가 원본 그대로 확보할 수 있었으며 이는 유심 복제로 직결될 수 있는 중대한 보안 허점으로 드러났다.

유출 경위도 명확히 확인됐다. 해커는 2021년8월 SKT 관리망 서버에 최초 침투해 원격제어 프로그램을 설치하고 계정정보가 평문으로 저장된 파일을 통해 최소 2,365대 서버의 ID와 비밀번호 4,899개를 탈취했다. 이어 2016년부터 이미 보안 패치가 제공된 DirtyCow 취약점을 활용해 코어망 서버 관리자 권한을 획득하고 홈가입자서버(HSS)에 악성프로그램 BPFDoor를 설치했다. 2022년6월에는 통합고객인증시스템(ICAS) 서버 2대를 추가 감염시켜 거점을 넓혔으며 2025년4월18일 결국 HSS 데이터베이스에서 9.82GB(기가바이트)에 달하는 개인정보를 압축해 외부로 유출했다. 조사 과정에서는 방화벽 설정 미흡 서버 간 불필요한 상호접속 허용 침입탐지 로그 미확인 운영체제 보안 업데이트 미실시 상용 백신 미설치 접속기록 미보관 등 기본적인 보호조치 의무 위반이 다수 확인됐다.

관리체계 부실도 드러났다. SKT는 개인정보보호책임자(CPO)의 역할을 웹과 앱 등 IT영역에 한정해 운영해 왔고 이동통신망과 인프라 영역은 관리 대상에서 사실상 비워뒀다. 이로 인해 대규모 유출이 발생했음에도 CPO가 개인정보 처리 실태조차 파악하지 못했고 전사적인 관리감독이 작동하지 않았다. 또한 SKT는 지난 4월 19일 HSS 데이터가 외부 전송된 사실을 확인했음에도 72시간 내 피해자에게 통지하지 않았다. 법정 기한을 어기면서 통지는 5월 9일 ‘유출 가능성’ 7월 28일 ‘유출 확정’이라는 식으로 지연돼 사회적 혼란과 불신을 키웠다.

이에 개인정보위는 SKT에 대한 제재로 과징금과 과태료를 부과하고 △CPO 권한과 역할을 전사적으로 강화해 모든 개인정보 처리업무를 총괄할 것 △위탁사 관리감독을 철저히 할 것 △ISMS-P 인증 범위를 기존 일부 고객관리시스템에서 이동통신 네트워크와 핵심 시스템 전반으로 확대할 것 등을 시정 명령했다. 또한 재발방지 대책을 3개월 내 수립해 보고하도록 명령했다.

업계 "잠재적 피해 차단 및 고객 보상책 고려해야"

SK텔레콤에 부과된 과징금 규모에 대해 업계에서는 의견이 갈리고 있다. 일각에서는 해킹 사태로 유출된 개인 정보의 양이나 중요성 등을 고려할 때 과징금이 많다고 보기 힘들다는 시각이 있다. 단순 숫자만 보더라도 2,300만 명이 넘는 이용자의 민감한 정보가 유출된 만큼, 향후 이동통신사의 정보보호 강화 필요성을 강조하기 위해서는 경종을 울릴 필요가 있다는 취지다.

반면 해킹으로 인한 실제 피해 사례가 0건이라는 점을 고려할 때, 과징금 규모가 과하다는 목소리도 나온다. 실제로 현재까지 SKT 유심 해킹으로 인한 직·간접적 고객 피해 사례는 보고되지 않았다. SKT가 사고 직후 유심 무상교체, 유심 보호 서비스 등을 통해 잠재적 피해를 사전에 차단한 점도 충분히 반영돼야 한다는 분석이다.

SKT가 'T멤버십 고객 감사제' 등 유심 해킹 사태에 따른 고객 보상책을 마련한 사실도 고려돼야 한다는 지적도 제기된다. 지난달 SKT는 유심 해킹 사태 이후 고객 신뢰를 회복하기 위해 총 5,000억원을 투입해 ‘고객 감사제’를 마련했다. 이달부터 연말까지 전 가입자에게 △8월 요금 50% 감면 △매달 데이터 50GB 추가 제공 △빅3 제휴사 릴레이 할인 등을 제공하는 대규모 보상책이다.

특히 제휴사 릴레이 할인의 일환으로 지난 11일부터 20일까지 진행된 '파리바게뜨 50% 할인'(최대 1만 원 할인)은 전국 파리바게뜨 매장 매대를 텅 비게 만들 정도로 큰 인기를 끌었고, 이후 진행된 도미노피자 할인 이벤트 역시 고객이 대거 몰리며 도미노피자 홈페이지와 앱 접속이 마비될 정도로 관심을 끌었다. 이 같은 파격적인 혜택의 효과는 즉각 나타났다. 해킹 사태 직후 위약금 면제 조치로 한때 6만 명대까지 치솟았던 일일 번호이동 수치는 고객 감사제가 본격화된 이후 1만 명 미만으로 급감하며 고객 이탈을 잠재우는 데 성공했다는 평가다.

의결서 받은 후 입장 정한다는 SKT, 행정소송 예고

아울러 업계에서는 타사의 과징금 제재 사례와 비교해 과징금 수준이 적정했는지, 형평성 논란도 쟁점이 될 것으로 보고 있다. 과거 SGI서울보증보험의 해킹 사고 시, 13.2테라바이트(TB)의 개인정보가 탈취됐지만 신용정보법은 개인신용정보 유출 시 과징금 상한을 50억원으로 규정하고 있다. 상대적으로 중요도와 민감도가 높은 개인신용정보가 유출돼도 과징금이 최대 50억원에 그쳤던 점을 고려할 때 유심 정보 유출로 1,350억원에 달하는 과징금을 부과하는 것이 적절한지, 지적이 제기된다.

기존까지 개인정보보호법 위반으로 최대 과징금을 부과 받은 사업자는 구글이다. 구글은 영리 목적으로, 이용자 동의 없이 고객 정보를 맞춤형 광고에 활용해 692억원 과징금 부과 받은 바 있다. 해킹을 당해 개인정보가 유출된 사업자를, 영리 목적으로 개인정보를 동의 없이 활용한 사업자보다 무겁게 제재하는 것은 불합리하다는 지적 역시 형평성 논란을 키우고 있다.

SKT 측도 "이번 결과에 무거운 책임감을 갖고 있고 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼아 고객정보 보호 강화를 위해 최선을 다할 것"이라면서도 "조사와 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라고 밝혔다. 그러면서 추후 행정소송 가능성도 열어놨다. SKT는 "향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정할 예정"이라고 덧붙였다.