[딜사이트 전한울 기자] SK텔레콤이 사이버 침해사고 관련 과징금 1347억9100만원을 부과 받았다. 개인정보보호위원회 출범 이후 최대 규모다.

개인정보보호위원회(개보위) 27일 '제18회 전체회의'를 열고 개인정보보호 법규를 위반한 SK텔레콤에 과징금 1347억9100만원을 부과했다. 정보유출 통지를 미뤄 피해 확산 방지에 소홀했던 점에 대해선 과태료 960만원을 부과하기로 했다.

이날 개보위는 SK텔레콤이 ▲접근통제조치 소홀 ▲접근권한 관리 소홀 ▲보안 업데이트 미조치 ▲유심 인증키 미암호화 등 안전조치 의무를 여럿 위반했다고 판단했다. 

개보위에 따르면 SK텔레콤은 인터넷과 내부망 사이 보안운영을 해킹에 취약한 상태로 관리·운영해 왔다. 인터넷·관리·코어·사내망을 동일한 네트워크로 운영하면서, SK텔레콤 내부 관리망 서버 접근을 제한없이 허용했다. 특히 침입탐지 시스템 내 이상행위 로그를 확인하지 않고 보안 업데이트도 실시하지 않는 등 대응조치 전반이 미흡했다는 게 개보위측 시각이다. 이 밖에 이동통신 필수 인증정보인 '유심 인증키' 2614만4363건을 암호화하지 않고 평문으로 저장하는 등 해킹 방지 시스템도 허술했다는 지적이다.

이에 개보위는 사고재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화할 것을 시정명령했다. 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것도 주문했다. 아울러 현재 일부 고객관리 시스템에서만 획득한 '개인정보보호관리체계(ISMS-P)' 인증 범위를 통신 이동통신 네트워크 시스템으로 확대해 회사 시스템 전반의 개인정보 안전성 수준을 제고하도록 개선 권고했다.

이번 개보위 결정과 관련해 SK텔레콤은 '무거운 책임감으로 고객정보 보호 강화에 만전을 기하겠다'는 입장을 밝혔다. 

SK텔레콤 관계자는 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 말했다. 이어 "다만 조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않은 점은 유감"이라며 "향후 의결서 수령 후 내용을 면밀히 검토해 입장을 정할 예정"이라고 부연했다.

한편 개보위는 올 4월22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고한 뒤 조사에 착수했다. 조사 결과 SK텔레콤 LTE·5G 서비스 전체 이용자 2324만4649명 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 총 25종의 정보가 유출된 것으로 확인됐다.