‘역대급’ 과징금 받은 SKT? “해도해도 너무하네”… 소비자들 ‘싸늘’한 이유 보니

개인정보 역대 최대 유출 사태
1천348억 과징금, 사상 최고액
보안 부실·늑장 대응 논란 확산

스마트폰 한 대로 모든 걸 해결하는 시대, 국민 2,324만여 명의 정보가 한순간에 무방비로 털렸다.

SK텔레콤이 초유의 개인정보 유출 사건으로 역대 최대 과징금을 부과받으면서, 그간 침묵해온 회사의 태도가 다시 도마 위에 올랐다.

‘국가 핵심 인프라’를 운영하는 통신사가 기본적인 보안조차 지키지 못했다는 사실에 사회적 파장이 커지고 있다.

해킹 침투 후 3년, 대규모 유출로 번지다

개인정보보호위원회는 지난 27일 전체회의에서 SKT에 1,347억 9천만 원의 과징금과 과태료 960만 원을 부과했다고 밝혔다. 이는 위원회 출범 이후 최대 규모다.

조사 결과 해커는 2021년 8월 SKT 내부망에 침투해 악성 프로그램을 심었고, 2022년 6월에는 고객 인증 시스템까지 장악했다.

결국 올해 4월, 홈가입자서버(HSS)에 보관된 개인정보 9.82GB가 외부로 유출됐다. 이 데이터에는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 민감한 정보가 포함돼 있었다.

한 관계자는 “해커의 침입 징후가 확인됐음에도 추가 점검이나 차단 조치가 이뤄지지 않았다”며 관리 부실을 지적했다.

기본도 지키지 못한 보안… 해외 유출 가능성도

더욱 심각한 것은 SKT의 기본적인 보안 조치 미흡이었다. 회사는 내부망과 인터넷망을 분리하지 않았고, 침입탐지 시스템이 남긴 기록조차 제대로 확인하지 않았다.

게다가 2016년에 이미 보안 패치가 공개된 취약점을 방치한 채 운영체제를 교체하지 않았으며, 필수 인증키를 암호화하지 않은 채 보관한 사실도 드러났다.

고학수 개인정보위원장은 “매우 중대한 성격의 정보가 관리 부실로 외부에 빠져나간 것”이라며 위원들 대부분이 SKT 책임을 무겁게 인식했다고 전했다.

특히 유출된 정보가 싱가포르 서버를 거쳐 이동한 흔적이 발견되어 해외 확산 가능성에 대한 우려가 커지고 있다.

늑장 통지와 책임 회피, 더 큰 불신 키워

보안 실패에 더해 SKT의 사후 대응도 문제였다. 법에 따르면 개인정보 유출 사실은 72시간 내 통보해야 하지만, SKT는 이를 지키지 않았다.

5월에는 ‘가능성’을 알리는 데 그쳤고, 실제 확정 통보는 7월에야 이뤄졌다. 이로 인해 피해자들은 제때 대응할 기회를 놓치게 되었다.

회사 내부의 CPO(개인정보보호책임자) 역할도 형식적이었던 것으로 밝혀졌다. IT 영역에 한정돼 있던 책임 체계 탓에 인프라 보안은 사실상 관리 사각지대에 놓여 있었던 것이다.

이에 개인정보보호위원회는 SKT에 재발 방지책 마련과 개인정보 보호 거버넌스 전면 개편을 명령했다.

SKT는 “이번 사태에 무거운 책임을 느낀다”며 고객정보 보호를 최우선 가치로 삼겠다고 밝혔지만, 거액 과징금 처분을 받은 만큼 불복 절차에 나설 가능성도 제기된다.

이번 사태는 단순한 보안 실패를 넘어 통신업계 전반의 신뢰 문제로 확산되고 있는 가운데, SKT의 향후 대응에 사회적 관심이 집중되고 있다.

🧮 독자 의견 결과

SKT의 개인정보 유출, 과징금 적절할까?

적절하다 56% 부족하다 44% (총 9표)