SK텔레콤, 2천324만명 개인정보 유출…과징금 1,347억 역대 최대

SK텔레콤이 역대 최악의 개인정보 유출 사고로 인해, 정부로부터 사상 최대 규모의 과징금을 부과받았다. 개인 정보 보호에 대한 법적 의무를 제대로 이행하지 못했다는 이유에서다.

개인정보보호위원회는 2025년 8월 27일 전체회의를 통해 SK텔레콤에 과징금 1천347억9천100만 원과 과태료 960만 원을 부과하기로 결정했다. 이는 2020년 개인정보보호위원회 출범 이후 가장 큰 금액으로, 피해 규모와 위법 행위의 중대성을 반영한 결과다. SK텔레콤은 이번 해킹 사고로 자사 전체 이동통신 서비스 이용자 약 2천324만 명의 민감한 개인정보를 유출당했다.

이번 사고에서 유출된 정보는 휴대전화번호와 가입자식별번호(IMSI), 유심 인증키(Ki 및 OPc) 등 이동통신 가입자의 개인 신원 인증에 필요한 핵심 데이터 25종에 달한다. 정보 유출은 해커가 SK텔레콤의 보안망을 장기적으로 침투한 데서 비롯됐으며, 2021년 8월 최초 침입 이후 수개월 간 해커는 중요 서버에 악성코드를 심고, 2025년 4월에는 데이터베이스(DB)에서 약 9.82GB에 달하는 이용자 정보를 통째로 외부로 유출한 것으로 확인됐다.

조사 결과에 따르면 SK텔레콤은 내부망의 보안 구성을 제대로 갖추지 못했으며 인터넷망과 내부 관리망 간에 접근 차단조차 하지 않은 채 네트워크를 단일화해 운영했다. 특히 해킹 시도나 이상 징후를 감지할 수 있는 침입탐지 시스템도 제대로 작동하지 않아 위험을 사전에 막을 기회를 놓쳤다. 더욱이 2022년 해커의 해킹 흔적이 드러났을 때에도 추가 점검을 하지 않은 채 보안 구멍을 방치한 사실이 확인됐다.

기술적인 취약점 외에도 전반적인 보안 관리 체계의 문제도 드러났다. SK텔레콤은 이용자 인증에 필수적인 정보인 유심 인증키 수천만 건을 암호화 없이 저장했고, 서버 접근을 위한 계정 정보 파일도 별도 조치 없이 방치했다. 이로 인해 해커는 관리자 권한으로 손쉽게 중요 정보를 불법 추출할 수 있었다. 특히 보안 취약점으로 지목된 운영체제는 이미 2016년에 패치가 제공됐음에도 이를 적용하지 않았던 점은, 기업의 보안 인식 부족을 잘 보여준다.

이용자 피해 통지도 늑장을 부렸다. 현행 법상 개인정보 유출 사실은 72시간 이내에 이용자에게 통보해야 하나, SK텔레콤은 유출 정황이 드러난 뒤 두 달이 지나서야 이를 공식화했다. 개인정보보호위원회는 이에 대해 “기본적인 법적 의무조차 미이행했다”며 강하게 비판했다. 이어 재발 방지를 위해 개인정보 관리 담당자의 역할을 확대하고, 전사적 개인정보 보호 체계를 재정비할 것을 명령했다.

이번 제재는 이동통신업계뿐 아니라, 대규모 개인정보를 수집·운영하는 모든 기업에 중대한 경고로 받아들여지고 있다. 위원회는 대형 개인정보 처리자에 대한 실태 점검을 강화하고, 9월 초에는 개인정보 보호 체계 강화 방안을 추가로 내놓을 방침이다. 향후 SK텔레콤이 행정소송을 제기할 가능성도 제기되지만, 현 시점에서 법적 대응은 미정이다. 이 같은 흐름은 기업들의 보안 인식 전환과 개인정보 보호 정책의 실질적 강화로 이어질 가능성이 크다.