SKT, 2300만 고객정보 유출에 '역대 최대' 1348억 과징금 낸다

2300만 고객의 민감한 통신 정보가 해커 손에 넘어간 SK텔레콤에 역대 최대인 1348억 원의 과징금이 부과됐다. 개인정보보호위원회는 SKT의 '매우 중대한 위반행위'를 확인, 1347억 9100만 원의 과징금과 960만 원의 과태료를 결정했다. 2020년 개인정보위 출범 이후 최대 규모 제재다.

9년간 열린 '뒷문'…해커 놀이터 된 서버

조사 결과 SKT의 보안 시스템은 속수무책으로 뚫렸다. 해커는 2021년 8월 내부망에 첫발을 들인 뒤, 1년도 안 돼 통합고객인증시스템까지 장악했다.

결국 올해 4월, 이용자 정보가 담긴 핵심 서버에서 9.82GB에 달하는 개인정보를 빼돌리는 데 성공했다. 이 모든 과정의 배경에는 9년 전 공개된 운영체제(OS) 보안 취약점('DirtyCow')을 방치한 SKT의 총체적 부실이 있었다.

해커는 활짝 열린 문으로 들어와 암호화 없이 저장된 서버 계정정보 약 4900개를 손에 넣고 내부 시스템을 제집처럼 드나들었다.

유심 복제 만능키까지…암호화 없이 방치

유출된 정보는 단순 신상 명세를 넘어섰다. 전체 이용자 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI)는 물론, 유심(USIM) 복제에 쓰일 수 있는 인증키(Ki)까지 포함됐다.

특히 2061만여 건에 달하는 유심 인증키는 암호화조차 되지 않은 '평문' 상태로 데이터베이스에 그대로 저장돼 있었다. 해커가 마음만 먹으면 가입자 명의로 유심을 복제해 통화를 엿듣거나 금융 범죄를 저지를 수 있는 길이 열린 셈이다.

골든타임 놓친 SKT, 늑장 대응에 이용자만 '깜깜'

SKT는 해킹을 막을 기회를 스스로 걷어찼다. 2022년 2월 해커의 핵심 서버 접속 사실을 확인하고도 추가 점검을 소홀히 해 대규모 유출 사태를 자초했다.

사고 후 대응은 더 실망스러웠다. 정보 유출 시 72시간 내 이용자에게 알려야 하는 법규를 어겼고, 개인정보위의 즉시 통지 명령에도 '유출 가능성'만 알리다 두 달이 훌쩍 지난 7월 28일에야 '유출 확정' 사실을 공지했다.

개인정보보호책임자(CPO)가 인프라 영역은 들여다보지도 못하는 지휘 체계도 문제로 지적됐다.

개인정보위 '매우 중대한 위반'…SKT, 소송전 가나

고학수 개인정보위원장은 "매우 중대한 성격의 정보가 유출됐는데 그 회사가 관리를 잘못했다는 문제 인식을 대부분의 위원이 가졌다"고 회의 분위기를 전했다.

개인정보위는 과징금과 함께 회사 전반의 개인정보 처리 업무를 총괄하도록 거버넌스를 정비하라는 강력한 시정명령도 내렸다.

SKT 측은 "이번 결과에 무거운 책임감을 느끼며 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔지만, 역대급 과징금 처분에 불복해 행정소송에 나설지 귀추가 주목된다.