2300만 명 정보 유출에 개인정보위 역대 최대 제재
[서울와이어=서동민 기자] 개인정보보호위원회가 SK텔레콤의 개인정보 유출 사고에 대해 1347억9100만원의 과징금을 부과했다. 이는 2022년 구글이 맞춤형 광고 관련 위반으로 부과받은 692억원을 넘어서는 역대 최대 규모로, 개인정보위 출범 이후 단일 사건 기준 최대 제재 기록이다.
개인정보위는 28일 전체회의에서 'SK텔레콤 개인정보 유출사고' 제재처분을 의결했다. 위원회는 SK텔레콤이 개인정보보호법상 안전조치 의무와 유출 통지 의무를 위반했다고 판단하고 과징금 1347억9100만원과 과태료 960만원을 부과했으며, 재발 방지를 위한 시정명령을 병행했다.
이번 사건은 지난 4월 22일 SK텔레콤이 비정상적인 데이터 외부 전송을 인지해 위원회에 신고하면서 알려졌다. 개인정보위는 사건의 중대성을 고려해 한국인터넷진흥원과 합동 태스크포스를 구성해 약 3개월간 조사를 진행했으며, 그 결과 2300만 명에 달하는 이용자의 USIM 관련 개인정보가 외부로 유출된 사실이 확인됐다. 인증키(Ki)까지 포함돼 유심 복제 가능성이 제기되면서 사회적 우려가 확산됐다.
조사에서는 다수의 보안 관리 부실이 드러났다. SK텔레콤은 방화벽을 제대로 설정하지 않아 외부 침입에 취약했고, 서버 계정 관리와 민감 정보 암호화도 부실했으며, 악성 프로그램 차단 체계 역시 제대로 갖추지 못한 것으로 드러났다. 개인정보위는 이러한 관리 소홀을 개인정보보호법 제29조 위반으로, 피해자에게 신속히 통지하지 않은 점을 제34조 위반으로 판단했다.
과징금 산정 과정에서는 일부 정상참작 사유가 고려됐다. SK텔레콤이 사고 발생 직후 자진 신고를 했고, 조사 과정에서도 협조하며 피해 확산 방지를 위한 조치를 취한 점이 반영됐다. 이에 따라 최종 과징금은 1347억9100만원으로 확정됐다. 업계 일각에서는 자진 신고가 없었다면 과징금이 2000억원에 달했을 것이라는 분석도 제기된다.
이번 제재는 과거 사례와 비교해도 규모가 크다. 2022년 구글은 맞춤형 광고를 위한 개인정보 수집·활용 과정에서 동의 절차를 위반해 692억원의 과징금을 부과받았다. 당시 구글 사례는 개인정보를 이용해 상업적 이득을 취한 행위가 문제였다면, 이번 SK텔레콤 사건은 이익 추구와 무관하게 핵심 인프라 관리 부실로 인해 대규모 유출이 발생했다는 점에서 성격이 다르다. 그럼에도 피해 규모와 파급력을 고려해 과징금은 구글의 두 배 가까이 책정되며 개인정보위 출범 이후 최대 제재 사례로 기록됐다.
위원회는 SK텔레콤에 대해 3개월 내 재발 방지 대책 수립·보고를 의무화하고 사고가 발생한 네트워크·시스템에 대해 ISMS-P 인증을 취득하도록 했다. 또한 개인정보보호 최고책임자(CPO)의 역할을 강화하고 외부 위탁 관리·감독을 철저히 하는 등 전사적 개인정보 거버넌스 체계 정비를 요구했다. 개인정보위는 이번 사건을 계기로 대규모 개인정보 처리자의 보안 투자 확대를 유도하기 위한 안전관리체계 강화 종합대책도 다음 달 초 발표할 예정이다.
한편 SK텔레콤은 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라며 "조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감이다. 향후 의결서 수령 후에 내용을 면밀히 검토하여 입장 정할 예정"이라고 밝혔다.