SK텔레콤, 개인정보 유출 사태로 역대 최대 과징금 1,347억 원

SK텔레콤이 대규모 유심(USIM) 정보 유출 사고로 인해 국내에서 역대 최대 수준의 과징금을 부과받게 됐다. 개인정보보호위원회는 8월 27일 전체회의를 열고 SK텔레콤에 1천347억9천100만 원의 과징금을, 개인정보 통지 지연에 대해서는 960만 원의 과태료를 부과하기로 의결했다.

이번 제재는 개인정보보호위원회 출범 이후 단일 사건으로는 최대 규모에 해당한다. 과거에는 2022년 구글과 메타가 각각 692억 원과 308억 원의 과징금을 받아 총 1천억 원 수준이었으며, 개인정보 유출 사건만 놓고 보면 지난해 카카오가 받은 151억 원이 최고액이었다. SK텔레콤 사례는 금액 규모뿐 아니라 피해 범위 측면에서도 큰 충격을 줬다는 점에서 주목받고 있다.

사건은 올해 4월 18일 SK텔레콤이 내부 시스템에서 의도치 않은 데이터 이동과 해킹 흔적을 처음 인지하면서 촉발됐다. 이후 불과 이틀 만에 한국인터넷진흥원(KISA)에 정식으로 해킹 사실을 신고했으며, 개인정보보호위원회는 즉각 조사에 착수했다. 민관합동조사단이 구성돼 조사한 결과, SK텔레콤 서버 28대가 악성코드 33종에 감염된 사실이 드러났으며, 전화번호와 가입자 식별번호 등 총 25종의 유심 관련 정보가 외부로 유출된 것으로 확인됐다.

이에 따라 SK텔레콤은 고객 보호 조치의 일환으로 4월 말부터 전국 대리점을 통해 유심을 무료로 교체해주는 서비스를 시작했다. 또, 행정지도를 따라 신규 고객 모집을 일시적으로 중단했고, 최태원 SK그룹 회장은 직접 사과에 나서며 사건 수습에 적극적으로 임했다. 사업 정상화는 6월 24일에서야 전면 재개됐다. 아울러 피해 고객을 위한 위약금 면제 조치도 이뤄졌으며, 방송통신위원회는 면제 시한을 올해 안까지 연장하도록 권고했다.

이번 과징금 부과 조치는 기업의 개인정보 보호 책임에 대한 기준을 한층 더 엄격히 적용한 사례로 해석된다. 과거와 달리 해킹이라는 외부 원인이라 하더라도 정보 유출의 결과에 대해서는 기업이 명확한 책임을 져야 한다는 원칙이 자리잡아가는 것이다. 특히 유출 사실을 인지한 이후 통지 의무를 성실히 이행하지 않은 데에 대해서도 법적 제재가 함께 적용됐다는 점에서, 향후 유사한 사이버 보안 사고 발생 시 기업 대응의 기준선이 될 전망이다.

이 같은 흐름은 향후 민간 통신사와 공공기관을 포함한 모든 정보처리 주체에 대해 보안 시스템 강화와 사고 대응 매뉴얼 정비 압박으로 이어질 가능성이 높다. 또한 과징금 규모가 실질적 경영 부담으로 작용하면서, 기업 차원의 정보 보호 투자 확대가 점차 본격화될 것으로 보인다.