사상 최악의 해킹 사고로 2천300만 명에 달하는 고객 정보가 유출된 SK텔레콤이 정부로부터 역대 최대 규모의 과징금을 부과받았다. 개인정보보호위원회는 관련 법령 위반과 관리 부실을 심각하게 본 데 따라 1천347억9천100만 원의 과징금과 960만 원의 과태료를 함께 부과했다.
개인정보보호위원회는 2025년 8월 27일 열린 전체회의에서 SK텔레콤의 해킹 사고에 대한 제재 수위를 최종 확정하고, 이를 다음 날인 28일 공식 발표했다. 개인정보위원회가 2020년 출범한 이후 부과한 과징금 중 가장 높은 액수다. 이는 단순한 과실이 아닌, 구조적이고 반복된 보안 관리 실패를 엄중히 짚은 결과라는 점에서 각별한 의미가 있다.
이번 해킹은 2021년부터 시작된 것으로 조사됐다. 해커는 같은 해 8월 SK텔레콤의 내부망에 침투해 악성 프로그램을 심는 것으로 공격을 시작했고, 이후에도 점진적으로 추가 지점을 확보해 2025년 4월에는 홈가입자서버(HSS)에서 약 9.8GB의 고객 데이터를 외부로 유출하는 데 성공했다. 유출된 정보는 LTE·5G 전체 이용자 2천324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc)를 포함한 25종에 이른다.
문제는 SK텔레콤이 사고 대응과 예방에 있어서도 심각한 허점을 드러냈다는 점이다. 조사 결과, 해커의 첫 침투 이후 3년 가까이 시스템 상의 경고 신호가 있었지만 제대로 된 진단도 대응도 없었다. 특히 민감 정보가 저장된 서버에 별도의 인증 절차 없이 접근할 수 있게 설정돼 있었고, 대다수 계정정보가 암호화 없이 저장돼 해커의 접근을 사실상 방관한 셈이 됐다. 또 해커가 사용한 보안 취약점은 이미 2016년에 알려져 있었음에도 시스템 보안 패치가 이뤄지지 않아, 이번 유출 사태를 더욱 쉽게 만들었다.
SK텔레콤은 개인정보 유출 사실을 내부적으로 인지한 뒤에도 관련 법에서 정한 ‘72시간 내 통지 의무’를 지키지 않았다. 개인정보보호위원회가 5월 초 유출 사실을 즉각적으로 알리라고 지시했지만, SK텔레콤은 일주일 후인 5월 9일에야 ‘가능성’만을 알렸고, 실제 유출 확정 안내는 7월 말에야 전달됐다. 이에 따라 정부는 유출 대응 프로세스 전반의 부실함을 지적하고, 개인정보 보호 거버넌스를 재정비할 것을 명령했다.
정부는 이번 일을 계기로 대규모 개인정보를 다루는 통신사를 포함한 기업 전반에 안전관리 체계 강화를 요구하고 있다. 개인정보위원회는 9월 초 관련 종합 대책을 발표할 예정이며, 위원장은 안전 강화를 위한 예산과 인력 투자가 단순한 비용이 아닌, 신뢰 확보를 위한 핵심 요소임을 강조하고 있다.
이 같은 흐름은 앞으로 기업들이 정보보안에 보다 적극적으로 투자하고, 사고 예방을 위한 내부 관리 체계를 강화하도록 유도할 가능성이 크다. 특히 이동통신 업계처럼 민감한 정보를 대규모로 처리하는 기업들은 법적 책임 뿐 아니라 소비자 신뢰 회복에까지 무게를 두어야 할 시점이다.