SK텔레콤, 2,324만 명 해킹에 과징금 1,348억…역대 최대 제재

개인정보보호위원회가 역대 최악의 해킹사고로 약 2천300만 명의 고객정보를 유출한 SK텔레콤에 사상 최대 수준인 1천348억 원의 과징금을 부과했다. 이는 기업의 기본 보안 의무를 소홀히 한 결과로, 개인정보보호법 위반에 대한 강력한 경고 조치다.

개인정보위는 2025년 4월 SK텔레콤에서 발생한 유출 사고를 조사한 결과, 2021년과 2022년에 해커가 내부망에 침투해 오랜 기간 거점을 확보하고 있다가, 2025년 4월 이용자 정보 9.82기가바이트를 외부로 빼돌린 것으로 파악했다. 특히 유심(USIM) 인증키 등 가입자 핵심 정보가 암호화되지 않은 상태로 저장돼 있었고, 방화벽·백신 소프트웨어 등의 기본 보안 조치도 제대로 갖추지 않았던 것으로 드러났다.

문제는 사고 대응에서도 나타났다. SK텔레콤은 4월 19일 데이터 유출 사실을 인지했음에도 72시간 이내 이용자에게 통지하지 않았고, 최초 공지는 5월 9일 ‘유출 가능성’에 그쳤다. 이후 실제 유출 사실 확인 통지는 사건 발생 3개월 뒤인 7월 28일에서야 이뤄졌다. 이는 개인정보보호법상 이용자 피해 방지를 위한 신속 통지 의무를 명백히 위반한 행위다.

이번에 부과된 과징금 1천347억 9,100만 원은 이전 최대 제재 사례인 2022년 구글과 메타에 각각 692억 원, 308억 원이 부과됐던 총 1천억 원을 크게 넘어선 수치다. 개인정보위는 위반 행위가 2년 이상 장기간 지속됐고, 피해 규모가 전국 이용자 전원에 해당하는 2천324만 명에 달하는 점, 핵심 인증정보 유출이 포함된 점 등을 종합해 ‘매우 중대한 위반’으로 판단했다.

다만 당국은 SK텔레콤이 사고 이후 피해 복구와 제도 개선을 일부 추진한 점, 가입자 보호를 위한 조치를 시행하고 있다는 점을 들어 일정 부분 감경을 적용했다고 밝혔다. SK텔레콤은 유심 인증키 암호화 등 늦게나마 보안대책을 진행 중이며, 내부 관리를 대폭 보완하겠다는 입장을 내놓았다.

이번 사태는 정보기술 인프라를 갖춘 대형 통신사라도 보안 의무를 소홀히 할 경우 국가적 피해로 이어질 수 있다는 교훈을 던진다. 관련 법률의 집행 강도 역시 강화되고 있는 만큼, 기업들은 기술 수준에 맞춘 보안시스템 구축과 함께 사고 대응 체계를 전면적으로 점검해야 할 필요성이 커지고 있다. 앞으로도 정부는 민간기업의 개인정보 보호 수준을 엄격히 관리하며 유사 사건 재발 방지에 집중할 것으로 보인다.