SK텔레콤(SKT)이 고객 유심(USIM) 정보 대규모 유출 사태와 관련해 개인정보보호위원회로부터 역대 최대 규모의 과징금 처분을 받았다.

개인정보위는 지난 27일 전체회의에서 SKT의 개인정보보호법 위반 사실을 의결하고 과징금 1347억9100만 원과 과태료 960만 원을 부과했다고 28일 밝혔다.

조사 결과, 해커는 2021년 8월 SKT 내부망에 침투해 다수 서버에 악성 프로그램을 설치하고, 2022년 통합고객인증시스템(ICAS)까지 장악했다. 이후 올해 4월 홈가입자서버(HSS) DB에 저장된 이용자 개인정보 9.82GB를 외부로 빼냈다.

이 과정에서 전체 LTE·5G 이용자 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 핵심 정보가 유출됐다. 휴대전화번호·IMSI 기준으로는 약 2696만 건에 달한다.

특히 SKT는 인터넷망과 관리망, 코어망, 사내망을 동일 네트워크로 연결해 외부 접근을 사실상 무제한 허용했고, 관리 서버에는 계정정보(ID·비밀번호 4899개)를 암호화 없이 저장해 유출 위험을 키웠다. 심지어 유심 인증키 2600만 건을 암호화하지 않고 평문으로 보관한 사실도 드러났다.

SKT는 2016년 이미 패치가 공개된 운영체제(OS) 보안 취약점(DirtyCow)을 수정하지 않고 방치했다. 또 침입탐지 시스템 경보와 로그를 무시해 유출 기회를 놓쳤다.

개인정보 유출 통지 의무(72시간 내)도 지키지 않았다. 개인정보위가 긴급 통지를 의결했지만, SKT는 일주일 뒤 ‘유출 가능성’만 알리고, 두 달 가까이 지난 7월 말에서야 ‘유출 확정’ 사실을 통보했다.

개인정보위는 “SKT의 안전조치 의무 위반이 직접적 원인이 됐다”며 이번 사안을 ‘매우 중대한 위반행위’로 규정했다. 다만 재발 방지 대책과 피해 회복 노력을 감안해 일부 감경했다고 설명했다. 앞서 개인정보위는 2022년 구글(692억 원), 메타(308억 원), LG유플러스(68억 원)에 과징금을 부과한 바 있으나 이번 SKT 제재 규모는 이보다 훨씬 크다.

고학수 개인정보위원장은 “매우 중대한 개인정보가 유출됐는데 회사가 관리 소홀로 사고를 초래했다는 인식이 위원회 내에 공통적으로 있었다”고 강조했다.

SKT는 “무거운 책임감을 느끼며 개인정보 보호를 모든 경영활동의 최우선 가치로 삼겠다”며 재발 방지 대책을 마련하겠다고 밝혔다. 다만 업계 일각에서는 SKT가 행정소송에 나설 가능성도 제기된다.