“핵심 네트워크‧시스템에 대한 관리 소홀로 2,300여만 명 개인정보 유출” 결론
다음 달 초 ‘개인정보 안전관리체계 강화 종합대책’ 발표 예정
[방송기술저널 백선하 기자] 개인정보보호위원회가 역대 최악의 해킹 사고로 이용자 2,300여만 명의 개인정보를 유출한 SK텔레콤에 1,347억 9,100만 원의 과징금과 960만 원의 과태료를 부과했다. 개인정보위 출범 이후 최대 과징금이다.
개인정보위는 8월 27일 전체회의에서 SK텔레콤에 대한 과징금과 과태료를 결정하고, 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치안을 의결했다고 28일 밝혔다.
개인정보위는 SK텔레콤의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했으며 다수의 안전조치의무 위반 사항이 유출 사고의 직접적인 원인이 된 점 등을 고려해 ‘매우 중대한 위반행위’로 판단했다고 설명했다. 다만 위반행위를 시정하고 피해 회복을 위해 노력한 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 일부 감경했다.
개인정보위에 따르면 이번 해킹 사고로 SK텔레콤의 LTE·5G 서비스 전체 이용자 2,324만 4,649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다.
조사 결과 해커는 지난 2021년 8월 SK텔레콤 내부망에 처음 침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성 프로그램을 설치해 추가 거점을 확보했다. 이후 해커는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.
개인정보위는 “이용자 전체의 개인정보가 외부로 빠져나간 데에는 SK텔레콤이 기본적인 보안 조치를 제대로 하지 않은 데다 관리에도 소홀했던 게 겹친 데 따른 것”이라고 결론지었다.
SK텔레콤은 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SK텔레콤 내부 관리망 서버로 접근을 제한 없이 허용했다. 또 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다.
특히 SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성 프로그램 설치 여부, 접근 통제 정책의 적절성 등을 점검하지 않아 유출 사고를 막을 기회를 놓쳤다.
시스템 내 서버에 대한 접근권한 관리도 크게 부족했다. SK텔레콤은 다수 서버(약 2,365개)의 계정 정보(ID와 비밀번호 약 4,899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 결국 해커는 획득한 계정 정보를 활용해 관리망 서버에 접속, 악성 프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출했다.
SK텔레콤은 보안 업데이트도 장기간 이행하지 않았다. 이번 사고에서 해커가 악성 프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 지난 2016년 10월에 이미 보안 경보가 발령됐고 보안 패치가 공개된 사항이었다. SK텔레콤은 이를 인지하고 있었음에도, 2016년 11월 이러한 보안 취약점을 가진 OS를 설치했으며 올해 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다. 또 최소 각종 상용 백신 프로그램으로 해당 취약점을 탐지할 수 있었지만 SK텔레콤은 올해 4월까지 이를 설치하지 않았을 뿐만 아니라 백신 미설치를 대체하는 보안 조치마저도 소홀히 했다.
SK텔레콤은 개인정보가 털린 이용자에게도 유출 사실 통지를 지연했다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SK텔레콤은 이행하지 않았다.
개인정보위가 지난 5월 2일 즉시 유출 통지를 할 것을 의결했으나 SK텔레콤은 같은 달 9일 ‘유출 가능성’에 대해서만 통지했고, 7월 28일이 돼서야 ‘유출 확정’ 통지를 해 개인정보보호법에서 정한 최소한의 의무조차 이행하지 않았다.
개인정보위는 SK텔레콤에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 했다.
개인정보위는 또한 SK텔레콤 해킹 사태와 같은 유사 사례가 재발하지 않도록 대규모 개인정보처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화 방안을 마련해 9월 초 발표할 예정이다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바라며, 나아가 데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.
