SK텔레콤, 역대 최대 개인정보 유출에 1,348억 과징금… 관리 전반 '허술'

SK텔레콤이 대규모 개인정보 유출 사고에 대해 역대 최고 수준인 1천348억 원의 과징금을 부과받았다. 개인정보보호위원회는 이번 사고가 단순한 우연이 아닌 오랜 기간 관리 체계의 전반적인 허술함에서 비롯된 구조적 문제라고 판단했다.

개인정보보호위원회는 2025년 8월 28일 열린 브리핑에서 SK텔레콤이 2천324만 명에 달하는 이용자의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 민감한 정보를 해커에 의해 유출당한 사실을 확인하고, 이에 상응하는 책임을 물어 사상 최대 과징금 처분을 내렸다고 밝혔다. 위원회는 이번 유출 사고의 원인을 단순한 보안사고가 아닌, 기업의 반복적인 대처 실패와 관리 소홀로 봤다.

고학수 개인정보보호위원장은 “SK텔레콤이 수년간 정보보호 관리체계를 개선할 기회를 반복적으로 놓쳐왔고, 전반적으로 허술한 상태가 지속됐다”고 지적했다. 그는 특히 IMSI와 유심 인증키가 개인정보에 해당하는지에 대한 논란이 없다고 밝히며 “해당 정보는 개인을 식별할 수 있는 핵심적인 수단”이라며 명백한 개인정보라고 강조했다.

이번 사건에서 문제가 된 것은 단순 유출 외에도 유출 경로에 대한 정확한 확인이 어려운 점이다. 2022년 6월부터 2024년 12월까지의 기록 중, 일부 서버에서는 로그가 4개월치만 남아 있어 많은 기간의 유출 여부조차 확인이 어렵다는 점이 드러났다. 개인정보위는 이런 관리 실태를 두고 “기초적인 보안 체계조차 갖추지 못했다”고 평가했다.

사고 이후 SK텔레콤은 유심 복제 등의 2차 피해를 방지하기 위해 유심 보호 서비스와 이상거래탐지시스템(FDS) 같은 보완 조치를 전체 가입자에게 적용하고 있으나, 위원회는 이런 사후 조치만으로는 책임을 면할 수 없다는 입장이다. 실제로 이러한 시스템들이 정상적으로 작동하지 않으면 여전히 피해가 발생할 수 있다는 우려도 제기됐다.

이번 제재는 향후 다른 기업들이 해킹 피해를 입었을 경우의 대응 기준에도 중요한 선례가 될 전망이다. 고 위원장은 “법과 원칙에 따라 일관적으로 대응하겠지만, 사안마다의 특수성도 당연히 고려하겠다”고 밝혀, 향후 유사 사안에 대해 상황별 탄력적 처분이 있을 수 있음을 시사했다.

정부는 오는 9월 개인정보 보호 관리체계 강화 방안을 별도로 발표할 계획이다. 저는적인 대응을 넘어서, 관련 인력에게 충분한 권한과 예산을 부여해 책임 있는 구조로 전환하겠다는 것이 골자다. 이 같은 흐름은 기업 내부의 개인정보 보호 역량이 단기 보안 대책이 아니라 조직 전체 문화의 일부로 뿌리내려야 한다는 공감대를 바탕으로, 보다 근본적인 제도 개편으로 이어질 가능성이 크다.