SK텔레콤, 개인정보 유출로 1,348억 과징금…역대 최대 규모

역대 최악의 개인정보 유출 사고로 2,300만 명이 넘는 이용자 정보를 외부에 노출시킨 SK텔레콤이, 정부로부터 역대 최대 규모인 1,348억 원의 과징금을 부과받았다. 이는 그간 국내외 기업에 대한 개인정보 보호 위반 처분 중 가장 높은 금액으로 기록된다.

개인정보보호위원회는 이번 사고가 단순한 보안 사고가 아닌, 기업의 기본 보안수칙조차 지켜지지 않은 총체적 부실의 결과라고 지적했다. 조사에 따르면 해커는 2021년부터 SK텔레콤의 내부망에 장기적으로 잠입해 거점을 확보했고, 2025년 4월에는 총 9.82기가바이트에 달하는 이용자 개인정보를 외부로 전송하는 데 성공했다. 이 과정을 통해 SK텔레콤 전체 이용자의 개인식별번호, 유심 인증키 등 민감한 정보가 유출됐다.

특히 문제의 심각성을 더한 요인은, SK텔레콤이 유출 사실을 인지하고도 규정된 통보 기한인 72시간 내에 피해 사실을 고객에게 알리지 않았다는 점이다. 개인정보위는 지난 5월 SK텔레콤에 즉각적인 피해 통지를 권고했지만, 통신사는 유출 사실을 확인하지 않고 ‘가능성’ 수준의 안내를 일주일 뒤인 9일에야 보냈다. 실제 확정된 통지는 사고 세 달 뒤인 7월 28일에야 이뤄졌다.

기술적인 보안 조치도 미흡했다. 유심 인증키가 암호화되지 않은 채 평문으로 저장돼 있었으며, 접근권한 관리·접속기록 관리·백신 설치 등 기본적인 보안 운영체계가 갖춰지지 않았다. 이는 SK텔레콤 내부에서도 여러 차례 암호화의 필요성이 제기됐으나 실행에 옮기지 않은 것으로 드러나면서, 관리 소홀에 대한 비판도 커지고 있다.

애초 최대 3,000억 원대 과징금 부과가 가능할 것이란 전망도 제기됐지만, 개인정보위는 기업의 피해보상 노력 등 감경 요인을 반영해 최종 액수를 산정했다고 밝혔다. 고학수 개인정보위 위원장은 과징금 결정의 세부 산정 기준은 공개하기 어렵다고 밝혔지만, 피해자 보호 조치를 일정 수준 고려했다고 설명했다.

이번 사건은 국내 1위 이동통신사가 근본적인 보안관리에 실패하면서 발생한 대형 사고였다. 전문가들은 유사 사례 재발 방지를 위해 기업의 보안 인프라 전반에 걸친 점검이 필요하다고 강조한다. 아울러 정부의 강력한 제재가 향후 다른 민간기업의 정보관리 관행 개선에 어떤 영향을 줄지 주목되고 있다.