티스토리 뷰
목차
2025년 8월 28일, 개인정보보호위원회는 SK텔레콤에 대해 과징금 1,347억 9천만 원, 과태료 960만 원이라는 사상 최대 규모의 제재를 결정했습니다.
이는 단순한 보안 사고가 아닌, 수년간 이어진 보안 무능과 대응 실패로 인해 발생한 대형 사고입니다.
어떤 개인정보가 유출됐나?
- 유출 대상: 총 2,324,649명 (알뜰폰 포함)
- 유출 정보: 총 25종
- 휴대폰 번호
- 가입자 식별번호 (IMSI)
- SIM 인증키 (KI, OPC) 등
이 정보는 SIM 카드 복제에 악용 가능하며, 해커가 암호화되지 않은 상태로 정보를 입수했을 가능성이 크다는 점에서 큰 우려를 낳고 있습니다.
어떻게 보안이 무너졌나?
- 초기 해킹 침투 (2021년 8월)
- 해커가 SKT 내부망에 악성 프로그램을 설치
- 네트워크 분리 미흡
- 인터넷망, 내부망, 관리망, 핵심망이 분리되지 않아 해커가 곧바로 핵심 서버(HSS)에 접근
- 탐지 시스템 미작동
- 2022년 2월, HSS 접근 시도를 전혀 탐지하지 못함
- 보안 업데이트 미적용
- 2016년 발견된 'DIRTY COW' 보안 취약점을 수년간 방치
왜 이렇게 늦게 알렸나?
- 2025년 4월 19일: SKT가 유출 인지
- 2025년 5월 9일: ‘유출 가능성’ 통보
- 2025년 7월 28일: 실제 ‘유출 확인’ 통보
개인정보 유출 시 72시간 이내 통보 의무를 무려 3개월이나 지연시킨 것. 이는 명백한 법 위반입니다.
제재 내용은?
- 과징금: 1,347억 9천만 원
- 과태료: 960만 원
- 과징금 산정은 전체 통신 매출 중 일부만 반영했으며, 법적 한도(매출의 최대 3%) 내에서 결정됨
- 이론상 최대 과징금은 약 3,800억 원까지 가능했음
SKT의 입장과 정부의 후속 조치
- SKT: "충분히 소명했으나 반영되지 않았다"며 유감 표명, 행정소송 가능성 언급
- 정부:
- 개인정보보호 책임자(CPO) 역할 강화
- ISMS-P(정보보호 관리체계) 인증 확대
- 대규모 개인정보 처리 기업 대상 투자 유도 시스템 마련 예정
자주 묻는 질문 (Q&A)
Q1. 유출된 정보로 어떤 피해가 가능할까요?
A. SIM 복제, 금융 사기, 명의 도용, 스미싱, 해킹 등 2차 피해로 이어질 수 있습니다.
Q2. 내 정보가 유출됐는지 확인할 수 있나요?
A. SK텔레콤 고객센터 또는 마이페이지를 통해 확인할 수 있습니다.
Q3. 피해 보상은 받을 수 있나요?
A. 유출 피해자에 한해 소송 또는 집단소송 절차로 보상을 받을 수 있습니다.
Q4. SKT는 앞으로 어떻게 대응하나요?
A. 보안 투자 확대와 외부 기관 감사 도입을 약속했으나, 신뢰 회복에는 시간이 필요합니다.
Q5. 우리는 무엇을 해야 하나요?
A. 사용 중인 통신사의 보안 정책 확인, 2차 인증 설정, 금융 계정 주기적 변경 등이 필요합니다.
마무리
이번 사건은 단순한 기술적 문제가 아닌, 대기업의 기본적인 책임 회피와 보안 인식 부족에서 비롯된 대형 사고입니다.
우리는 더 이상 기업의 선의에만 의존할 수 없습니다.
이 사건을 계기로 모든 사용자와 기업이 개인정보 보호를 필수로 인식하고, 예방을 위한 투자와 시스템 개편에 적극 나서야 합니다.
