개인정보보호위원회(위원장 고학수)는 27일 전체회의를 열고 SK텔레콤㈜의 대규모 개인정보 유출사고에 대해 과징금 1,347억9,100만 원, 과태료 960만 원을 부과하고 전사적 거버넌스 강화 및 안전조치 개선 명령을 의결했다. 이는 개인정보보호법 위반 사건 가운데 역대 최대 규모의 제재다.

SK텔레콤

이번 사건은 4월 SK텔레콤이 비정상적인 데이터 전송을 자체 인지해 신고한 뒤, 개인정보위와 한국인터넷진흥원(KISA)이 합동으로 집중조사 태스크포스를 구성해 3개월여간 조사한 결과 드러났다.

조사 결과 해커는 2021년부터 SK텔레콤 내부망에 침투해 악성 프로그램을 심었고, 2025년 4월 홈가입자서버(HSS)에 저장된 데이터 9.82GB를 외부로 유출했다.

그 결과 LTE·5G 전체 이용자 2,324만여 명의 휴대전화번호, IMSI, 유심 인증키(Ki·OPc) 등 총 25종의 정보가 빠져나간 것으로 확인됐다.

특히 이용자 인증과 직결되는 유심 인증키가 암호화되지 않은 상태로 저장·유출되면서 USIM 복제 가능성에 대한 사회적 우려가 커졌다.

개인정보위 조사에 따르면 SK텔레콤은 타 통신사(LGU+ 2011년~, KT 2014년~)가 이미 인증키 암호화를 시행하고 있었음에도 이를 방치한 것으로 드러났다.

이와 함께 방화벽 설정 미비, 서버 계정정보 관리 소홀, 보안 업데이트 지연, 백신 미설치 등 기본적인 보안조치 의무를 위반한 사실도 적발됐다.

또한 SK텔레콤은 지난 4월 19일 데이터 유출을 인지했음에도 72시간 내 피해자 통지를 이행하지 않고, ‘유출 가능성’ 통지를 5월 9일, 최종 ‘확정’ 통지를 7월 28일에야 실시해 사회적 혼란을 가중시켰다.

개인정보위는 이에 대해 “피해 확산 방지를 위한 최소한의 조치조차 소홀히 했다”고 지적했다.

개인정보위는 SK텔레콤에 △3개월 내 재발방지 대책 수립·보고 △개인정보보호 책임자(CPO)의 역할 강화 및 전사적 개인정보 거버넌스 재정비 △이동통신 네트워크 및 시스템 전반에 대한 ISMS-P 인증 취득 등을 시정명령으로 부과했다.

고학수 위원장은 “이번 사건은 특정 기업의 문제가 아니라 사회 전반에 개인정보 보호의 중요성을 환기하는 계기”라며 “기업이 관련 예산과 인력을 비용이 아닌 필수 투자로 인식해야 한다”고 강조했다.

정부는 다음 달 초 대규모 개인정보 처리자의 보안 투자 확대를 유도하기 위해 제도 개선과 인센티브 체계 개편을 담은 ‘개인정보 안전관리체계 강화 종합대책’을 별도로 발표할 예정이다.

이번 처분은 이용자 2,300만 명의 민감한 이동통신 데이터가 유출된 초유의 사태에 대한 국가적 대응인 동시에, 향후 기업들의 개인정보 보호 체계를 한 단계 끌어올리는 분수령이 될 전망이다.