SKT 개인정보 대참사…2,324만 명 정보 유출에 1,347억 과징금

1. 역대 최대 규모의 제재

개인정보보호위원회가 SK텔레콤에 부과한 과징금은 무려 1,347억 9,100만 원으로, 개인정보위 출범 이래 가장 큰 액수다. 추가로 960만 원의 과태료까지 더해지며, 이번 제재는 단순한 금전적 처벌을 넘어 ‘보안 관리 실패’에 대한 강력한 경고로 해석된다.

2. 2,324만 명 피해, 어떤 정보가 털렸나

이번 해킹으로 피해를 본 가입자는 2,324만 4,649명에 달한다. LTE와 5G 이용자는 물론, 알뜰폰 가입자까지 포함되며, 휴대전화 번호, IMSI, 유심 인증키 등 총 25종의 민감한 개인정보가 외부로 빠져나갔다. 이는 대한민국 인구 절반에 가까운 수치로, ‘국민의 절반 정보가 노출됐다’는 표현이 과하지 않다.

3. 해킹의 시작과 확산

조사 결과, 해커는 2021년 8월 처음으로 SKT 내부망에 침입했다. 이후 다수의 서버에 악성 프로그램을 심었고, 2022년 6월에는 통합고객인증시스템(ICAS)까지 장악했다. 결국 올해 4월 18일, 홈가입자서버(HSS) DB에 저장된 9.82GB 분량의 개인정보가 외부로 유출되면서 대규모 피해가 현실화됐다.

4. SKT의 치명적 보안 허점

SKT는 인터넷망, 관리망, 코어망, 사내망을 같은 네트워크에 묶어두는 치명적 구조적 결함을 드러냈다. 이로 인해 외부에서 내부 관리 서버로 사실상 자유롭게 접근이 가능했다. 또한 침입 탐지 시스템이 기록한 이상 로그조차 제대로 확인하지 않아 불법 접근을 방치했다. 2022년 2월 해커의 서버 접속을 포착했음에도 후속 조치를 하지 않아 막을 수 있는 기회를 놓친 점은 특히 뼈아프다.

5. 개인정보위의 시정 명령

위원회는 SKT에 과징금과 과태료를 부과하는 데 그치지 않고, 재발 방지를 위한 체계 개편을 명령했다. 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 점검하고, 안전조치를 강화할 것, 그리고 사내 개인정보보호책임자(CPO)가 실질적으로 전사적인 개인정보 업무를 총괄할 수 있도록 거버넌스를 재정비할 것을 요구했다.

6. 향후 전망과 파장

이번 사건은 단순한 기업 보안사고가 아니라, 국가적 정보보호 수준을 되돌아보게 하는 충격적인 사건으로 기록될 전망이다. 개인정보위는 9월 초 ‘개인정보 안전관리 강화 방안’을 별도로 발표해, 대규모 개인정보를 다루는 기업들에 대한 관리·감독을 한층 강화하겠다고 예고했다.