고학수 개보위원장 "SKT 보안 체계, 장기간 허술한 상태였다"(종합)

작성일 08-28

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">서울정부청사서 'SKT 개인정보 유출사고' 제재처분 결과 발표 브리핑<br>안전조치 의무·유출 통지 위반…과징금1347억9100만원·과태료 960만원 부과<br>SKT "입장 충분히 소명했음에도 결과에 반영되지 않아 유감"</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="VhV2VBkPXI">
          <figure class="figure_frm origin_fig" contents-hash="b0bfe89f250106390bceec2e08d0a53a9c1d23ad8bd45e92ccfda9813c954c63" dmcf-pid="flfVfbEQZO" dmcf-ptype="figure">
           <p class="link_figure"><img alt="[서울=뉴시스] 추상철 기자 = 고학수 개인정보보호위원회 위원장이 28일 오전 서울 종로구 정부서울청사에서 'SK텔레콤 개인정보 유출사고' 제재처분 의결 관련 브리핑을 하고 있다. 2025.08.28. scchoo@newsis.com" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202508/28/newsis/20250828122512848qbzy.jpg" data-org-width="720" dmcf-mid="2YGYGv41HC" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202508/28/newsis/20250828122512848qbzy.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            [서울=뉴시스] 추상철 기자 = 고학수 개인정보보호위원회 위원장이 28일 오전 서울 종로구 정부서울청사에서 'SK텔레콤 개인정보 유출사고' 제재처분 의결 관련 브리핑을 하고 있다. 2025.08.28. scchoo@newsis.com
           </figcaption>
          </figure>
          <p contents-hash="375aefcf78e059914adf057c67f3d2f1c94ba15e3d9a6f910a8acd29df78af39" dmcf-pid="4v8489wMZs" dmcf-ptype="general"><br> [서울=뉴시스] 송혜리 기자 = <strong>"SK텔레콤이 꽤 오랜 기간 동안 전반적으로 허술한 보안 상태를 유지하고 있었다는 점에, 위원들은 심각성을 제기했습니다."</strong></p>
          <p contents-hash="1198799c90c658e369683c60ff2af6826d513ec2b38836aa77796ad0873a7061" dmcf-pid="8T6862rRtm" dmcf-ptype="general">고학수 개인정보보호위원회 위원장은 28일 서울정부청사에서 열린 'SK텔레콤 개인정보 유출사고' 제재처분 결과 발표 브리핑을 통해 이같이 말했다. </p>
          <p contents-hash="e162a4392ee23517dd7914e371ab34faf849b76ed30042ecd5d59d008e6a6a6b" dmcf-pid="6yP6PVmeZr" dmcf-ptype="general">전날 개인정보위는 제18회 전체회의를 열고 해킹 사고로 이용자 유심(USIM)정보를 유출한 SK텔레콤에 개인정보보호법 위반 혐의를 들어 과징금 1347억9100만원과 과태료 960만원을 부과했다. </p>
          <p contents-hash="9101ba02bb3d6e8598df0bce1bf6b5212ed0d5d364aeccb78e243505d4fa5ae1" dmcf-pid="PWQPQfsdZw" dmcf-ptype="general">개인정보위 조사에 따르면 SK텔레콤은 ▲접근통제 미흡 ▲접근권한 관리 소홀 ▲보안 업데이트 미실시 ▲유심 인증키를 암호화하지 않고 평문으로 저장하는 등 정보보호 조치 의무를 다하지 않은 것으로 드러났다. 이로 인해 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출된 사실이 확인됐다.</p>
          <p contents-hash="9d618aa3be14f883c5ae8c80a8897332d355f0fb647cc53a779e9817e633146f" dmcf-pid="QYxQx4OJYD" dmcf-ptype="general">이에 대해 고학수 위원장은 "회사가 꽤 오랜 기간 동안 전반적으로 허술한 보안 상태를 유지하고 있었다는 점에 대해, 위원들의 인식이 대체로 일치했다"고 말했다. </p>
          <p contents-hash="7a480ce6634cb1843e676522e00638f55aa6ee3370b216505f0fec945655b9bd" dmcf-pid="xGMxM8IiYE" dmcf-ptype="general">이어 "회사가 그동안 여러 차례 문제를 인지하고 또 개선할 기회가 있었음에도 이를 반복적으로 놓쳐 왔다는 점, 회사 전반이 장기간에 걸쳐 개인정보 보호 체계가 취약한 상태에 있었다는 점이 위원들 사이에서 가장 답답하게 느껴진 부분이었다"고 설명했다. </p>
          <p contents-hash="6dda67f589738778d76ad32fc6e47d8bfe841798b34e6cacbed3bca414accb61" dmcf-pid="yeWyWlVZtk" dmcf-ptype="general">고 위원장은 SK텔레콤의 사회적 책임과 유심(USIM) 정보가 갖는 개인정보적 성격과 민감성도 지적했다. </p>
          <p contents-hash="99b84e4b14b0629f2416c72c41787e04326781a6859ed657ce139a3cedcd6a18" dmcf-pid="WdYWYSf51c" dmcf-ptype="general">고 위원장은 "SK텔레콤은 국내 1위 이동통신사업자로서, 국민 절반에 해당하는 이용자들의 개인정보를 보유한 사업자"라며 "이처럼 사회적 책임이 큰 기업에서 이러한 기본적인 보안 실패가 발생했다는 점에서 우려가 더욱 컸다"고 덧붙였다. </p>
          <p contents-hash="280b510665a779975b836ca0153790e3283164a1d12ebc160a131a7ab4d51cdf" dmcf-pid="YJGYGv41tA" dmcf-ptype="general">이어 "개인정보, 특히 유심(USIM) 정보는 현대 사회에서 매우 중대한 의미를 갖는 정보"라며 "개인이 사회와 소통하고, 다양한 서비스에 접근하기 위해 사용하는 휴대폰은 사실상 사회적, 기술적 연결의 출발점이며 그 기반이 되는 것이 바로 유심 정보"라고 언급했다. </p>
          <p contents-hash="c1e4655abed878a3ea570e8a1ac5da2372a65cdff0dd540afccde47aa0868035" dmcf-pid="GiHGHT8t1j" dmcf-ptype="general">그러면서 "그러한 중요한 정보가 유출됐고, 이를 회사가 제대로 관리하지 못했다는 점에 대해 깊은 문제의식을 갖지 않을 수 없다"고 말했다. </p>
          <h3 contents-hash="4b61ff5c214e43b93ac5c40889fbe1c0b2bdc24814a90b5e13fb1ff3e2e4f1fc" dmcf-pid="HnXHXy6FtN" dmcf-ptype="h3">2300여만명 유심 정보 등 유출</h3>
          <div contents-hash="89c37795294bc51793b8546e2c6c63f537deedcad4ede9a4901d0025a2204e35" dmcf-pid="XLZXZWP35a" dmcf-ptype="general">
            개인정보위는 지난 4월 22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 조사에 착수했다. 개인정보위는 사건의 중대성을 감안해 신고 당일 한국인터넷진흥원(KISA)과 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했다.
          </div>
          <p contents-hash="aa47f92a120ddb514cbac82f197fff3bb3db990e3f49158342ddd0b5d11f0719" dmcf-pid="Zo5Z5YQ05g" dmcf-ptype="general">개인정보위는 SK텔레콤이 ▲접근통제 조치 미흡 ▲접근권한 관리 소홀 ▲보안 업데이트 미이행 ▲유심 인증키를 암호화하지 않고 평문으로 저장하는 등 안전조치 의무를 위반한 점을 확인했다고 설명했다. 뿐만 아니라 ▲개인정보 보호책임자(CPO) 지정 및 역할 수행 소홀 ▲이용자에 대한 유출 통지 지연 등의 법령 위반 사항도 함께 드러났다고 설명했다.</p>
          <p contents-hash="89dfd0b66e0ea642b958fe23b0eb344c0648ea370632ae280086d476c40b12ce" dmcf-pid="5QSlSObYHo" dmcf-ptype="general">구체적으로 SK텔레콤은 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서, 인터넷망(국내·외)에서 회사 내부 관리망 서버로의 접근을 제한없이 허용했다. 즉, 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영했다.</p>
          <p contents-hash="73d1ffb8e0b65698046b2dfb38cdd8f4156eb2402839b6be454d589d7273cb44" dmcf-pid="1xvSvIKGYL" dmcf-ptype="general">뿐만 아니라 SK텔레콤은 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다. 특히 2022년 2월 해커가 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부·추가적인 악성프로그램 설치 여부와 접근통제 정책의 적절성 등을 점검하지 않아 이번 유출 사고를 사전에 방지할 기회를 놓친 사실이 확인됐다.</p>
          <p contents-hash="f308a578bd6acaf301ac55c39727dc950c6ba113ef7116ec3fbc0d54f29f41b9" dmcf-pid="tMTvTC9HGn" dmcf-ptype="general">보안 업데이트도 장기간 이행하지 않았다.</p>
          <p contents-hash="cbfe6ee738608be337fb6c6f860fb9384fbe2d608b638363feb40a17ed7a473c" dmcf-pid="FRyTyh2XZi" dmcf-ptype="general">이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 2016년 10월에 이미 보안 경보가 발령됐고 보안 패치가 공개된 사항이었다. SK텔레콤은 이를 인지하고 있었음에도, 2016년 11월 이러한 보안 취약점을 가진 OS를 설치했으며 올해 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.</p>
          <p contents-hash="242c75d1993ad1074583e5d43ca645f8e726925c464336a684a9336885bb9ecb" dmcf-pid="3eWyWlVZ1J" dmcf-ptype="general">또 각종 상용 백신 프로그램으로 해당 취약점을 탐지 할 수 있었지만 SK텔레콤은 올해 4월까지 이를 설치하지 않았을 뿐만 아니라 백신 미설치를 대체하는 보안 조치마저도 소홀히 해 결과적으로 이번 유출 사고를 막지 못했다.</p>
          <p contents-hash="a7d67e56236a4e590a1a31d81f0981cc0fe7daafad4c2c39afcac40cfe1a025c" dmcf-pid="0dYWYSf5Gd" dmcf-ptype="general">개인정보 유출 사실을 이용자에게 제때 알리지도 않았다. SK텔레콤은 4월 19일 개인정보가 외부로 전송된 사실을 인지했음에도 관련 법령상 기한인 72시간 이내에 유출 사실을 이용자에게 통지하지 않았다. 이로 인해 사회적 불안과 혼란이 가중됐다.</p>
          <p contents-hash="81c415a18a8a4039b7e7c7216692177e349ba14dac41d4a4c8bcc637f4453dd4" dmcf-pid="pJGYGv41Xe" dmcf-ptype="general">이에 따라 개인정보위는 SK텔레콤에 안전조치 의무 위반에 대해 과징금 1347억9100만원, 유출 통지 지연에 대해 과태료 960만원을 각각 부과했다. 아울러 재발 방지를 위해 SK텔레콤에 ▲개인정보 보호책임자(CPO)의 역할 강화 ▲회사 전반의 개인정보 처리 업무를 총괄할 수 있는 내부 거버넌스 체계 정비 등을 명령했다. </p>
          <p contents-hash="44846ce57ec8ba5a2ce914170e7c225f700e5f9177b32494f07601c2c538158b" dmcf-pid="UiHGHT8tZR" dmcf-ptype="general">개인정보위는 이번 과징금 산정에 SK텔레콤의 전체 매출액을 기준으로 적용하되, 위반 행위와 직접 관련 없는 매출은 제외했다고 설명했다.</p>
          <p contents-hash="53e5265c975e828bd50b84cb0d601557b7b3696ffd05a907597dbdc83e83728f" dmcf-pid="unXHXy6F1M" dmcf-ptype="general">아울러 다수의 안전조치 의무 위반이 유출 사고의 직접적인 원인이 된 점, 가입자 인증에 필수적인 유심 인증키 등 핵심 정보가 유출된 점, 약 2300만명에 이르는 대규모 개인정보가 유출된 점 등을 종합적으로 고려해 이번 사건을 '매우 중대한 위반행위'로 판단했다고 덧붙였다. 또 SK텔레콤의 위반 행위가 2년 이상 장기간 지속된 점을 반영해 일부 가중 처분을 적용했다.</p>
          <p contents-hash="00077a0d0a4981533ec9367ff6c23b17c8f7249c26d4ee1e7f939ad70c9a097d" dmcf-pid="7LZXZWP3Gx" dmcf-ptype="general">반면 유출 사고 이후 일부 시정조치를 이행한 점, 이용자 피해 회복을 위한 노력한 점, 기타 개인정보 보호 활동 등을 감안해 일부 감경도 함께 적용했다고 설명했다. </p>
          <h3 contents-hash="a225e41b365448697a7c3662f883d61f39e9a8cc519905f396af79b813f6c517" dmcf-pid="zo5Z5YQ05Q" dmcf-ptype="h3">개인정보보호 적극적으로 한 기업에 인센티브…담당자 전문성 인정받는 환경 조성</h3>
          <div contents-hash="7aafd38c92a5c61a0c8b74c5957162865640f3db00f8055138fb5d6b38808ab1" dmcf-pid="qg151Gxp1P" dmcf-ptype="general">
            이날 SK텔레콤 측은 입장문을 통해 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔다. 이어 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라면서 "향후 의결서 수령 후에 내용을 면밀히 검토해 입장 정할 예정"이라고 덧붙였다. 
          </div>
          <p contents-hash="f069007d759b165d20851321c27921082ac5884ca0f0d0c0eabc31e035a83d57" dmcf-pid="Bat1tHMUX6" dmcf-ptype="general">한편 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 다음달 초 발표할 예정이다.</p>
          <p contents-hash="532d2eb0b79568f225cb4d82f324301b2fe4083b7a90edb0271211c9532d2497" dmcf-pid="bNFtFXRuY8" dmcf-ptype="general">해당 방안에는 개인정보 보호 현장에서 최소한의 법적 기준만 형식적으로 따르는 관행을 넘어, 실질적 보호 조치를 자율적으로 실행할 수 있도록 인센티브와 제도적 기반에 관한 내용이 담길 예정이다. </p>
          <p contents-hash="bd09e5d714969c896271267dce9e9c17f18fae62f0a33b96bab5c4982abdc64d" dmcf-pid="KfOsODuSZ4" dmcf-ptype="general">고학수 위원장은 "기업이나 공공기관 등 현장에서 개인정보 보호 업무를 맡고 있는 실무자들이 위원회에서 제공하는 법령, 고시, 지침, 해설서 등을 매우 수동적이고 기계적으로 해석해, 그에 명시된 '최소한의 기준'만 충족하면 문제가 없다고 여기는 관행이 자리 잡고 있다"며 "이러한 문서 중심의 수동적인 접근 방식을 어떻게 개선할 수 있을지 고민하고 있다"고 밝혔다.</p>
          <p contents-hash="d757ad31b99b9faeb2495eab9e97ac7295d27dc6934996ac2a844360e0ac6378" dmcf-pid="94IOIw7v5f" dmcf-ptype="general">이어 "특히 최소한 수준을 넘어 현장에서 그보다 조금 더 적극적으로 개인정보 보호를 위해 대응하고자 하는 의지가 작동할 수 있는 환경 조성, 인센티브 체계를 함께 마련할 필요가 있다"며 "이와 함께 개인정보 보호 담당자들이 조직 내에서 보다 전문성과 책임성을 인정받고, 그에 걸맞은 권한과 예산, 커리어 경로까지 마련될 수 있도록 하는 방향으로 정책을 설계 중"이라고 설명했다.</p>
          <p contents-hash="42ed24838a8fafd538cec81554e5987dcdbd924d697102daae852672b1247b19" dmcf-pid="28CICrzT5V" dmcf-ptype="general"><span>☞공감언론 뉴시스</span> chewoo@newsis.com </p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p>

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

고학수 개보위원장 "SKT 보안 체계, 장기간 허술한 상태였다"(종합)

멤버랭킹

관련자료

멤버랭킹