[디지털데일리 최민지기자] 개인정보보호위원회(이하 개인정보위)가 SK텔레콤을 향해 1348억원에 달하는 제재안을 확정했다. 이는 개인정보위 역사상 최대 과징금 규모다.

개인정보위(위원장 고학수)는 지난 27일 제18회 전체회의를 열고 개인정보보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원 부과를 의결했다고 28일 밝혔다.

또한 ▲전반적인 시스템 점검 ▲안전조치 강화 ▲전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치를 주문했다.

◆SKT 개인정보 유출 규모 ‘2696만건’

개인정보위는 한국인터넷진흥원(이하 KISA)과 함께 집중조사 태스크포스(TF)를 구성해 조사한 결과, SK텔레콤 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함)의 ▲휴대전화번호 ▲가입자식별번호(IMSI) ▲유심 인증키(Ki, OPc) 등 25종 정보가 유출된 것으로 확인됐다.

개인정보위에 따르면 휴대전화번호·IMSI 기준 유출 규모는 약 2696만건으로 조사됐으나, 법인·공공회선, 다회선, 기타 회선 등을 제외한 이용자로 산정했다.

해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했으며, 2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치해 추가 거점을 확보했다. 이후 올해 4월18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 9.82GB 규모의 이용자 개인정보를 외부로 유출했다. HSS는 가입자 이동통신망 접속을 위한 인증 시스템이다.

개인정보위는 이번 사고가 SK텔레콤의 기본적인 보안 조치 미비와 관리 소홀로 발생했다고 판단했다.

◆막을 수 있었던 사고, 기본도 지키지 않았다

SK텔레콤은 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하고 있었다. 인터넷망(국내·외)에서 SK텔레콤 내부 관리망 서버로의 접근을 제한 없이 허용했다. 관리망 서버 경우, 유출 사고가 발생한 HSS와 상호접속이 필요하지 않다. 그러나 이를 허용해 해커가 인터넷망에서 HSS까지 접속할 수 있었다. 기본적인 접근통제 조치가 이뤄지지 않았다는 설명이다.

또한, SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했지만 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다. 이번 유출 사고를 사전에 방지할 기회를 놓친 셈이다. SK텔레콤은 2365개 서버 내 계정정보(ID·비밀번호) 4899개가 저장된 파일을 관리망 서버에 암호도 설정하지 않은 채 저장했고, HSS에서 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다.

이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 2016년 10월 보안 경보 발령 후 보안패치가 공개된 사항이었다. SK텔레콤은 이를 인지했으나, 2016년 11월 보안취약점을 가진 OS 설치 후 유출 당시까지 보안 업데이트를 실시하지 않았다. 심지어, 2020년부터 상용 백신 프로그램들이 해당 취약점 실행을 탐지하고 있었다. SK텔레콤은 이조차 설치하지 않았고, 백신을 대신하는 보안조치마저 부재했다.

특히, SK텔레콤은 유심 인증키 2614만4363건을 암호화하지 않고 평문으로 저장해, 해커는 유심 인증키를 원본 그대로 확보할 수 있었다. 이 외 내부 관리계획 수립·시행 및 점검 소홀, 접속기록 미보관 등 안전조치의무를 준수하지 않았고, SK텔레콤 자체 내부규정조차 다수 위반했다.

◆개인정보보호책임자, 통신 인프라 영역에 개입 못해…개인정보위 시정명령

SK텔레콤은 IT 영역과 통신 인프라 영역 모두에서 이동통신 서비스 제공을 위한 개인정보를 처리하지만, 개인정보보호책임자(CPO) 역할은 IT 영역(T월드 등 웹·앱 서비스)에 한정되도록 구성·운영했다. 당시 CPO는 최고정보보호책임자(CISO) 역할을 겸임 중이었음에도, 유출 사고가 발생한 인프라 영역에 개입할 수 없었다. 이에 통신 인프라 영역 내 개인정보 처리 실태조차 파악할 수 없었다.

이에 개인정보위는 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령했다.

또한, 현재 일부 고객관리시스템(T월드 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 통신 이동통신 네트워크 시스템으로 확대해 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고했다.

한편, 개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고 ‘개인정보 안전관리 체계 강화방안’을 마련해 9월 초 발표할 예정이다.

고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고, 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -