개인정보보호위원회가 28일 SK텔레콤의 개인정보를 담은 유심(USIM) 유출 사고와 관련해 1347억9100만 원의 과징금을 부과했다.
개인정보보호법 위반으로 부과된 과징금 중 역대 최대 규모다. 2022년 구글이 맞춤형 광고 관련 위반으로 부과받은 692억 원을 크게 넘었다. 메타도 308억 원을 받았었다.
개인정보위는 이날 SK텔레콤이 개인정보보호법상 안전 조치 의무와 유출 통지 의무를 위반했다고 판단, 과징금 1347억 9100만 원과 과태료 960만 원을 부과했다. 재발 방지를 위한 시정명령도 내렸다.
고학수 개인정보보호위원회 위원장이 28일 서울정부청사에서 개인정보위 제18회 전체회의 결과 브리핑에서 SK텔레콤 개인정보 유출 사고 관련 처분 경위를 설명하고 있다. e브리핑
이번 사고는 지난 4월 22일 SK텔레콤이 비정상적인 데이터 외부 전송을 인지해 개인정보위에 신고하면서 알려졌다.
개인정보위는 사건의 중대성을 고려해 한국인터넷진흥원과 합동 태스크포스를 구성해 약 3개월간 조사를 진행했고, 그 결과 2300만 명에 달하는 이용자의 유심 관련 개인정보가 외부로 유출된 사실이 확인됐다.
인증키(Ki)까지 포함돼 유심 복제 가능성이 제기되면서 사회적 우려가 확산됐다.
SKT 개인정보 유출 경위 도식 현황. 개인정보보호위원회
조사 결과 다수의 보안 관리 부실이 드러났다.
SK텔레콤은 방화벽을 제대로 설정하지 않아 외부 침입에 취약했고, 서버 계정 관리와 민감 정보 암호화도 부실했다. 악성 프로그램 차단 체계도 제대로 갖추지 못했다.
개인정보위는 정보관리 소홀을 개인정보보호법 제29조 위반으로, 피해자에게 신속히 통지하지 않은 점을 제34조 위반으로 적용했다.
과징금 산정에서는 일부 정상 참작 사유가 고려됐다.
SK텔레콤이 사고 발생 직후 자진 신고를 했고, 조사 과정에서도 협조하며 피해 확산 방지를 위한 조치를 취한 점이 반영됐다. 업계 일각에서는 자진 신고를 하지 않았다면 과징금이 2000억 원에 달했을 것이라는 분석도 제기된다.
이번 제재 수위는 과거 사례와 비교해 크다.
구글은 2022년 맞춤형 광고를 위한 개인정보 수집·활용 과정에서 동의 절차를 위반해 692억 원의 과징금을 부과받았다.
구글은 개인정보를 이용해 상업적 이득을 취했다면 SK텔레콤은 이익 추구와 무관하게 핵심 인프라 관리 부실로 인해 대규모 개인정보가 유출됐다는 점에서 성격이 다르다.
개인정보위는 SK텔레콤에 대해 3개월 내 재발 방지 대책 수립·보고를 의무화하고 사고가 발생한 네트워크·시스템에 대해 ISMS-P 인증을 취득하도록 했다.
또 개인정보보호 최고책임자(CPO)의 역할을 강화하고 외부 위탁 관리·감독을 철저히 하는 등 전사적 개인정보 거버넌스 체계 정비를 요구했다.
개인정보위는 9월 초 대규모 개인정보 처리자의 보안 투자 확대를 유도하기 위한 안전관리체계 강화 종합대책도 발표할 예정이다.
한편 SK텔레콤은 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라며 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감이다. 향후 의결서 수령 후에 내용을 면밀히 검토해 입장 정할 예정"이라고 밝혔다.