SKT 역대 최대 1348억원 과징금…부과 근거는
대규모 해킹 사태를 일으킨 SK텔레콤이 유출 사실 신고 이후 4개월여 만에 개인정보보호위원회(개보위)로부터 과징금을 부과받았다. 과징금 및 과태료 규모는 각각 1347억9100만원, 과태료 960만원이다. 개보위는 28일 정부서울청사에서 제18회 전체회의 결과 브리핑을 열고, 개인정보 보호 법규를 위반한 SKT에 대해 과징금 1347억9100만원과 과태료 960만원을 부과한다고 밝혔다. 이는 개보위과 부과한 과징금 중 역대 최대 규모다. 개보위는 또 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치(안)를 의결했다. 고학수 개보위 위원장은 브리핑 현장에서 "해커가 SKT 내부망에 침투해 개인정보를 유출한 통신, 인프라 영역에 대한 개인정보 보호 관리·감독이 매우 허술하게 이뤄지고 있었다는 점을 확인했다"며 "이에 SKT에 대해 과징금 및 과태료 부과와 함께 향후 개인정보 보호 강화를 위해 개인정보보호책임자(CPO)가 실질적인 역할과 책임을 다할 수 있도록 체계를 정비하는 한편 재발 방지 대책을 수립해 시행할 것에 대해 시정 명령했다"고 밝혔다. 개보위는 지난 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고를 하면서 한국인터넷진흥원(KISA)와 함께 집중조사 태스크포스(TF)를 구성하고 조사에 착수했다. TF는 개보위 조사관 4인과 사내변호사 및 회계사 3인, KISA 조사관 7인 등으로 구성됐다. TF는 현장 조사, 서면조사 및 디지털 증거 수집 등을 통해 SKT 주요 개인 정보처리시스템 대상 유출 여부 규모 등에 대해 집중 조사했다. "해커, 탈취한 계정정보로 관리자 권한 획득…악성코드 심어" 개보위는 이번 사고가 이동통신 이용에 필요한 IMSI 및 유심 인증키가 대규모로 유출됨에 따라 이동통신 서비스의 신뢰도가 저하되고 사회적 불안감이 확산되는 등 국민 생활에 중대한 악영향을 줬다고 판단했다. TF 조사 결과에 따르면 SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화 번호를 비롯해 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 유출 경위를 보면 해커는 지난 2021년 8월 SKT 내부망에 최초 침투해 원격 접속한 관리망에서 평문으로 저장된 계정정보를 획득했다. 개보위에 따르면 해커들은 최소 2365대의 서버를 공격해 평문으로 저장된 4899개의 ID 및 패스워드를 탈취해 간 것으로 확인됐다. 해커는 획득한 계정을 이용해 코어망 서버에 접속했고, 더티카우(DirtyCow)라는 취약점을 활용해 운영OS 관리자 권환을 획득했다. 이후 홈가입자서버(HSS) 데이터베이스(DB)에 악성프로그램인 'BPFDoor'를 설치했다. 또 지난 2022년 6월 통합고객인증시스템(ICAS) 내에 악성 프로그램을 설치해 추가 거점을 확보하면서 공격을 시작했다. ICAS는 SKT가 운영하는 티월드(Tworld) 등 사내 서비스 및 인가된 협력사 대상 SKT 가입자의 가입 상태, 정보 및 가입 상품 조회용 API를 제공하는 시스템이다. 해커는 지난 4월 18일 설치해 놓은 악성프로그램을 이용해 외부에서 HSS DB에 명령어를 입력했고, DB에 저장된 이용자 개인정보를 조회해 파일로 추출한 뒤 압축해 외부로 유출했다. 유출 규모는 9.82GB다. 공격받은 ICAS 서버에는 이용자의 이름, 생년월일, 주소, 이메일, 단말기 식별번호(IMEI) 등이 임시 저장돼 있었던 것으로 전해졌다. "개인정보 암호화 없이 평문 저장…불법 침입에 매우 취약" 문제는 이같은 개인정보를 SKT가 암호화하지 않고 평문으로 저장하고 있었다는 점이다. 이에 해커가 유심 복제에 사용할 수 있는 유심 인증키 등을 원본 그대로 확보할 수 있었던 것으로 확인됐다. 평문으로 유출된 유심 인증키는 총 2614만4363건이다. 심지어 SKT는 2022년 유심 복제 등의 이슈가 제기되면서 다른 통신사가 유심 인증키를 암호화해 저장하고 있는 것을 확인했음에도 적절한 조치를 취하지 않아 비판을 피하기 어려워 보인다. 이 외에도 내부 관리 계획 수립·시행 및 점검 소홀, 접속 기록 미보관 등 안전조치의무를 준수하지 않은 데다 SKT가 자체 마련한 내부 규정마저도 다수 위반한 것으로 알려졌다. 뿐만 아니라 지난 4월19일 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인해 개인정보 유출 사실을 인지했음에도 72시간 내에 유출된 이용자를 대상으로 유출 사실을 통지하지 않았다. 관련법상 개인정보 유출 사고 시 1000명 이상의 정보주체에 관한 개인정보가 유출됐을 경우, 유출 사실을 알게 된 날부터 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 이에 개보위는 지난 5월2일 SKT에 즉시 유출통지를 진행할 것을 긴급 의결했음에도 불구하고, SKT는 유출 '가능성'에 대해 통지를 실시하는 데 그쳤다. 이후 7월28일이 돼서야 유출 '확정'으로 통지를 실시하는 등 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않았다고 개보위는 지적했다. 개보위는 SKT가 기본적인 접근통제조치도 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 매우 취약한 상태로 관리·운영되고 있었다고 밝혔다. 인터넷망(국내·외)에서 SKT 내부 관리망 서버로의 접근이 제한없이 허용되고 있었던 것이다. 이 외에도 SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 해 유출 사고를 사전에 방지할 기회마저 놓쳤다는 것이 개보위의 판단이다. SKT 내 개인정보보호책임자(CPO)의 역할도 사실상 '반쪽'이었다. 개보위에 따르면 SKT는 CPO의 역할을 IT 영역(Tworld 등 웹·앱 서비스)에 한정되도록 구성·운영했다. 이에 이번 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이루어지지 않았다. 개보위 "SKT 계기로 개인정보 보호 예산·인력 투자 강화돼야" 이번 처분에 앞서 개인정보위는 조사 결과 및 처분 방향에 대해 위원들간 충실한 논의 및 의견수렴을 위해 총 네 차례의 사전 검토회의를 거쳤고, 전날 전체회의 때 사업자가 출석해 의견 개진 및 질의·응답 등을 거친 후 최종 처분안을 확정했다고 밝혔다. 향후 개보위는 유사 사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리 및 감독을 더욱 강화하고, 개인정보 안전관리 체계 강화 방안을 마련해 내달 초 발표할 예정이다. 고학수 위원장은 "이번 SKT 해킹 사태를 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"며 "나아가 데이터 경제 시대 CPO와 전담 조직이 기업 경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호 체계가 한층 강화되는 계기가 되길 바란다"고 말했다. SKT 측은 "이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객 정보 보호 강화를 위해 만전을 기할 것"이라면서도 "다만 조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감이다. 향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정리할 예정"이라고 밝혔다. 다음은 브리핑 현장에서 고학수 위원장과의 일문일답. - 과징금 규모를 선정하게 된 경위는 "과징금 규모 선정은 전체 매출액에서부터 출발한다. 사건과 관련이 없는 매출액을 제외한 후 과징금 고시에 마련된 구체적인 기준에 따라 기준금액을 정하게 된다. 기준금액 결정 이후 중대성 판단을 하는데, 조정 절차를 거쳐 과징금을 최종 결정하게 된다. SKT의 연결 재무제표상 매출은 17조원 정도 되는데, 개인고객이 아닌 법인 고객 등 관련 없는 매출을 제외하고 기준금액을 결정했고, 중대성은 '매우 중대함'으로 결정됐다." - SKT 측 CPO의 역할이 제한적이었던 배경은 무엇인가. "SKT가 CISO를 새로 영입했고 회사 내부에서 조직 개편을 일부 한 것으로 확인됐다. 이런 개편은 현재도 진행 중이며, 조사 과정에서 파악된 CPO 관련 문제는 IT 전반을 다루는 부서와 인프라 네트워크 인프라 부서 사이의 역할구분이 실질적으로 있었다는 것이다. CPO가 네트워크 인프라도 확인할 수 있긴 했지만, 제한적으로만 보는 업무 관행이 있었던 것 같다" - 27일 진행된 전체회의에서 SKT는 어떤 입장을 밝혔나. "기존에는 SKT가 문제 상황이 발생하긴 했지만 회사가 할 수 있는 합리적인 선에서 적극적인 소명을 했다. 27일 전체회의에서는 '사실 문제가 있었던 것이 많고, 아쉽고 죄송스럽게 생각한다'면서 '개보위와 훨씬 더 적극적으로 소통하겠다'는 입장을 밝혔다" - 과징금 규모가 적지 않다 보니 SKT가 행정 소송에 나설 것 같은데, 이와 관련한 개보위 입장은 무엇인가. "소송 여부는 개보위가 예단할 사안이 아니다. 다만 조사하고 처분하는 과정에서 TF를 꾸려서 진행했는데, TF에 투입된 인력이 이례적으로 많았다. 조사 전문가뿐 아니라 법률회계 전문가 등이 투입돼서 전체적인 조사를 꼼꼼히 진행해 처리했다." - 27일 전체회의에서 위원들은 어떤 반응을 보였나. "SKT가 꽤 오랜 기간 전반적으로 취약한 상태였음에도 불구하고 조치를 할 수 있는 계기를 계속해서 놓쳐왔던 부분에서 위원들이 답답함을 느꼈다. 국민 절반이 사용하는 통신사인데 매우 중대한 정보의 성격의 개인정보가 유출됐고, SKT가 관리를 못했다는 문제의식이 강했다" - SKT 해킹 사태가 처음 불거졌을 당시 유심 복제에 대한 우려가 컸다. 개보위는 유심복제가 가능하다고 판단했는가. "과거에는 유심 복제가 수월했으나, 이상징후 탐지(FDS) 기술과 더불어 유심보호 서비스 등이 고도화되면서 현시점에서 유심 복제는 거의 불가능하다고 본다." - 다른 기업이 해킹 사고를 당했을 때 SKT와 비슷한 수위로 처벌할 것인가. "모든 사건마다 독특한 특징이 있다. 일관성있게 법을 적용하는 것은 너무나 당연하지만 개별 사건의 특수성도 고려돼야 한다."
