개인정보보호위원회가 SK텔레콤의 안전조치의무 소홀로 인한 유심정보 등 개인정보 유출에 대해 과징금 1347억9100만을 부과했다. 이는 개인정보위 출범 이후 최대 규모다.
개인정보위는 전날 제18회 전체회의를 열고 개인정보 보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다. 또 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치(안)을 의결했다.
SK텔레콤은 지난 4월 22일 비정상적 데이터 외부 전송 사실을 인지하고 개인정보위 측에 유출을 신고했다. 이에 개인정보위는 신고 당일 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했다.
TF 조사 결과, SK텔레콤이 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE‧5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 개인정보가 유출됐다. 유출된 정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종인 것으로 확인됐다
휴대전화번호‧IMSI 기준 유출 규모는 약 2696만건으로 확인되나 법인‧공공회선, 다회선, 기타 회선 등을 제외한 이용자로 산정했다.
해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치해 추가 거점을 확보했다. 이후 올해 4월 18일 홈가입자인증서버(HSS) DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출했다.
SK텔레콤의 안전조치 의무 위반 사항
개인정보위는 SK텔레콤 측이 △접근통제조치 소홀 △접근권한 관리 소홀 △보안 업데이트 미조치 △유심 인증키를 암호화하지 않고 평문으로 저장 등의 안전조치 의무를 위반했다고 봤다.
먼저 SK텔레콤은 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리, 운영됐다. 인터넷‧관리‧코어‧사내망을 동일한 네트워크로 연결해 운영하면서 인터넷망(국내외)에서 SK텔레콤 내부 관리망 서버로의 접근을 제한없이 허용했다.
특히 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지, 대응 조치가 미흡했다. SK텔레콤은 2022년 2월 해커가 HSS에 접속한 사실을 확인했음에도 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다. 이에 이번 유출 사고를 사전에 방지할 기회를 놓친 사실이 확인됐다.
또 SK텔레콤은 접근권한 관리도 소홀히 했다. 다수 서버(약 2365개)의 계정정보(ID, 비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장, 관리하고 HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영했다. 해커는 획득한 계정정보를 활용해 관리망 서버에 접속했고, 악성프로그램을 설치하는 등 HSS DB 내 개인정보를 조회, 추출할 수 있었다.
게다가 보안 업데이트도 실시하지 않았다. 이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 2016년 10월에 이미 보안 경보가 발령되었고, 보안 패치가 공개된 사항이었다. SK텔레콤은 이를 인지했으나 2016년 11월 보안 취약점을 가진 OS를 설치했고 올해 4월 유출 당시까지도 업데이트를 진행하지 않았다.
이어 최소 2020년부터 각종 상용 백신 프로그램은 해당 취약점의 실행을 탐지하고 있었으나 사고 당시까지도 설치하지 않았을 뿐만 아니라 백신 미설치를 대체하는 보안 조치마저도 빈틈이 있어 결과적으로 유출 사고를 막지 못했다.
SK텔레콤은 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고 평문으로 HSS DB 등에 저장했다. 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다.
2022년 당시 언론을 통해 유심 복제 등의 이슈가 제기되자 다른 통신사는 유심 인증키(Ki)를 암호화해 저장하고 있었다. SK텔레콤은 관련 사실을 확인했으나 조치하지 않아 유출 피해를 예방하지 못했다.
이외에도 SK텔레콤은 관리계획 수립‧시행 및 점검 소홀, 접속기록 미보관 등 안전조치의무를 준수하지 않았고 자체 마련한 내부규정도 다수 위반한 것으로 확인됐다.
개인정보위 “SKT, CPO 지정과 개인정보 유출통지 지연도 문제”
개인정보위는 “SK텔레콤은 IT, 통신 인프라 영역 모두에서 이동통신 서비스를 제공을 위한 개인정보를 처리한다”며 “그럼에도 개인정보 보호책임자(CPO)의 역할은 IT 영역(T월드 등 웹‧앱 서비스)에 한정되도록 구성, 운영했다”라고 지적했다.
이번 유출 사고 발생 지점인 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 관리, 감독이 사실상 이뤄지지 않은 것으로 봤다.
또 SK텔레콤은 지난 4월 19일 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인하며 개인정보 유출 사실을 인지했다. 관련 법령에는 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지해야 하지만 지키지 않았다.
개인정보위는 5월 2일 SK텔레콤 측에 즉시 유출통지를 진행할 것을 긴급 의결했다. SK텔레콤은 5월 9일 유출 가능성에 대해 통지를 실시했고, 7월 28일에야 유출 확정 통지를 실시하는 등 최소한의 의무조차 이행하지 않았다.
개인정보위, SKT 처분 결과
개인정보위는 SK텔레콤이 국내 1위 이동통신사업자로서 안전조치 미흡으로 개인정보가 유출한 행위에 대해 과징금 1347억9100만원을 부과했다. 이어 정보 주체에 대한 유출 통지를 지연해 신속한 피해 확산방지를 소홀히 한 행위도 과태료 960만원을 부과하기로 결정했다.
아울러 SK텔레콤이 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령했다.
또 현재 일부 고객관리시스템(T월드 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대해 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고했다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유‧처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”고 말했다.
이어 “나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.
이번 처분에 앞서 개인정보위는 조사 결과 및 처분 방향에 대해 위원들간 충실한 논의 및 의견수렴을 위해 총 네 차례의 사전 검토회의를 거쳤다. 전체회의에도 SK텔레콤이 출석해 의견 개진 및 질의‧응답 등을 거친 후 최종 처분안을 확정했다.
