개인정보위, SKT 과징금 1348억 원 의결

해킹 사고가 발생한 SK텔레콤에 대해 개인정보보호위원회가 1348억 원의 과징금과 960만 원의 과태료를 부과했어요. 2020년 개인정보위 출범 이후 역대 최대 금액인데요. 개인정보위는 이번 사건을 법 위반 중 가장 높은 단계인 ‘매우 중대한 위반’으로 평가했어요.

SKT 역대 최대 과징금 배경: 2021년부터 시작된 해킹 사태?

지난 SKT 유심 해킹 사태로 전체 이용자 2324만여 명의 개인정보가 유출됐어요. 유출 정보는 전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종인데요. 개인정보위 조사 결과, 유출 사고는 하루아침에 일어난 일이 아니었어요. 해커는 2021년 8월 처음으로 SKT 내부망에 침입해 여러 서버에 악성 프로그램을 설치했고, 이후 2022년 6월에는 고객 인증 시스템까지 뚫으며 거점을 확장한 것. 그러다 2025년 4월, 서버에 저장된 9.82GB 분량의 개인정보를 외부로 빼낸 걸로 나타났고요.

개인정보위는 SKT가 이 모든 과정을 사실상 막을 기회를 놓쳤다고 봤어요. 해커의 침입 정황을 포착하고도 보안 점검을 제대로 하지 않았고, 핵심 인증 정보에 대한 접근 통제나 암호화 같은 기초적인 보안 조치도 안 돼 있었다고. 유심 인증키는 아예 암호화 없이 평문으로 저장됐고, 비밀번호 없이도 개인정보를 조회할 수 있는 시스템이 그대로 방치됐던 걸로 조사됐고요.

SKT 역대 최대 과징금 이유: 보안 관리 소홀에 늑장 대응까지

개인정보위는 SKT의 보안 조치·관리가 허술했고, 유출 사실 통지도 늦어졌다고 봤어요:

• 해커가 침입한 시점부터 유출까지 약 3년 가까운 시간 동안 시스템이 취약한 상태로 방치됐다는 점이 핵심인데요. 그동안 SKT는 보안 경고가 이미 내려진 운영체제를 계속 쓰면서도 별도의 패치를 하지 않았고, 백신조차 설치하지 않았어요.
• 관리 책임자인 개인정보보호책임자(CPO)의 권한도 IT 영역에만 한정돼 있어, 유출이 발생한 인프라 영역은 관리 사각지대에 놓여 있었던 걸로 확인됐어요. 
• 또한 개인정보가 유출되면 유출 사실을 72시간 내 알리도록 법에 규정되어 있지만, SKT는 한참 뒤에야 ‘유출 가능성’만 알렸고, 유출이 확정됐다는 통지는 2달 뒤에야 이뤄졌어요. 

이에 개인정보위는 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”고 강조했어요.

SKT는 입장문을 내고 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 내용을 면밀히 검토해 입장을 정할 예정이라고 밝혔어요. 내부적으로 1000억 원 안쪽의 과징금은 수용할 수 있다는 분위기였지만, 실제 ‘역대급’ 부과액에 당혹감이 큰 것으로 알려졌고요. 이에 SKT가 결과에 불복하고 행정소송을 진행할 수 있다는 전망도 나와요.

🔗 더 알아보기

• 방통위: “SKT 해킹 사태 위약금 전액 면제, 올해 말까지 연장하세요!” 🚨
• 내 개인정보 어디까지 유출된 거예요? 요즘 해킹이 무서운 진짜 이유
• SKT 해지해도 위약금 공짜라고? 위약금 면제 이유&방법 정리