"회사가 꽤 오랜 기간 동안 전반적으로 (보안이) 허술한 상태였고, 총체적으로 굉장히 취약했습니다. 국민의 절반이 이용하는 국내 1위 통신사에서 유심과 같은 매우 중대한 성격을 가지는 정보가 유출됐다는 점에서 문제인식이 컸습니다."
고학수 개인정보보호위원회 위원장은 28일 오전 서울정부청사에서 열린 SK텔레콤 개인정보 유출사고' 제재 처분 결과 발표 브리핑에서 "이번 해킹 사고의 법 위반 정도가 매우 중대하다고 판단했다"면서 이같이 밝혔다.
지난 4월 22일 SKT 해킹 사고가 발생하자, 개인정보위는 한국인터넷진흥원과(KISA)와 태크스포스(TF)를 꾸려 4개월가랑 집중 조사했다. 그 결과, SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종 정보가 유출된 것으로 확인됐다.
위원회는 유출 정보 25종 모두를 개인정보로 보고, 회사의 관리 부실과 보안 체계 미비로 가장 핵심이 되는 정보가 유출됐다는 점에서 '매우 중대한 위반'이라고 판단했다. SKT가 안전조치 의무 및 개인정보 유출 통지 지연 등 개인정보보호법을 위반했고, 보안 취약점이 이미 드러난 운영체제를 이용하며 보안 업데이트도 하지 않은 것으로 드러났다. 더욱이 지난 2022년 회사 시스템에 해커의 접속을 확인했음에도 별도의 보안 조치를 취하지 않았던 것으로 확인됐다.
이런 법 위반의 중대성 등을 고려해 과징금 1347억 9100만원이 부과됐다. 위원회 출범 이후 역대 최대 규모다. 이러한 결정을 내리기까지 위원회는 몇 차례 치열한 논의를 펼쳤다고 밝혔다. 개별 건으론 이례적으로 위원들과 4차례 간담회를 가졌고, 의결 날인 전체회의에서 저녁식사까지 거르면서 최장 시간 논의를 거쳐 최종결론을 냈다고 했다.
종전 최대 과징금을 받았던 구글·메타와 비교해 SKT 사건은 4개월 만에 비교적 빨리 결론이 났다. 위원회 규모를 고려하면 굉장히 많은 인원이 투입됐고, 상주 직원을 두는 등 사고 경위를 파악하는 데 집중했다.
고 위원장은 "이번 SKT 건에는 이전 사건과는 비교할 수 없을 정도로 큰 맨아워(한 사람이 1시간 동안 수행하는 노동량)가 투입됐다"면서 "또한 SKT와 같이 해커가 시스템에 들어가 정보를 빼간 유출사고의 경우, 즉각적으로 상황 파악을 하는 게 가능할 경우에는 상대적으로 빠른 시일 내에 분석과 정리가 이루어질 수 있다"고 설명했다.
개인정보 유출로 인한 직접적 피해가 없었는데, 1000억원대 과징금은 형평성에 어긋난다는 지적은 논란거리다. 이번 개인정보 유출 사태로 인한 직접적인 피해사례도 아직 나타나지 않았다. 더욱이 유심 복제로 인한 피해는 불가능하다는데 개보위도 동의했다.
고 위원장은 "SKT의 경우 유심 복제가 거의 불가능하다"면서 "SKT가 사고 이후 전체 가입자들에게 유심보호서비스를 적용했고, FDS기술 고도화 작업을 수행하면서 유심 복제는 거의 불가능하다고 본다"고 말했다.
향후에도 유출된 정보를 이용한 피해사례가 발생하긴 어렵다는 점에서 1000억원대 과징금에 대한 논란이 이어질 것으로 보인다.
SKT는 개인정보위의 이 같은 결정에 유감을 표하면서 행정소송 가능성도 내비쳤다. 하지만 위원회는 조사 과정에서 최대한의 역량을 발휘해 꼼꼼하게 내린 결론인 만큼 법적으로 문제가 없다는 입장을 밝혔다.
고 위원장은 "행정 소송 여부는 알 수 없으나, 저희 조직 규모로 볼 때 TF에 이례적으로 많은 인력이 투입됐고, 조사 전문가뿐 아니라 법률, 회계 등 전문가가 참여해 조사가 진행됐다"고 밝혔다.
박진영 기자sunlight@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
