SKT 해킹사태 과징금 '1348억' 역대 최대…"유심 인증키 암호화 안해"

(서울=뉴스1) 이기림 기자 = '대규모 고객 유심(USIM) 정보 해킹사태'가 발생한 SK텔레콤(SKT)이 과징금 1347억 9100만 원과 과태료 960만 원을 부과받았다. 해당 과징금은 개인정보위가 부과한 역대 최대 액수다.

개인정보보호위원회는 지난 27일 정부서울청사에서 제18회 전체회의를 열고, 안전조치 의무 및 유출 통지 위반 등 개인정보 보호 법규를 위반한 SKT에 대한 이같은 제재처분을 의결했다고 28일 밝혔다.

개인정보위는 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치도 내렸다.

개인정보위는 지난 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해 옴에 따라 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 조사했다.

조사 결과, 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만 4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 법인·공공회선, 다회선, 기타 회선 등을 포함하면 휴대전화번호·IMSI 기준 유출 규모는 약 2696만 건에 달한다.

해커는 2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했으며, 2022년 6월 ICAS(통합고객인증시스템) 내 악성프로그램을 설치해 추가 거점을 확보한 것으로 조사됐다. 이후 지난 4월 18일 HSS(홈가입자서버) DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출했다.

우선 SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서, 인터넷망에서 SKT 내부 관리망 서버로의 접근을 제한 없이 허용하고 있었다. 관리망 서버는 유출 사고가 발생한 HSS와 상호접속이 불필요함에도 허용하고 있던 것이다.

SKT는 지난 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 점검하지 않았고, 다수 서버(약 2365개)의 계정정보(ID·비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영하기도 했다.

해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 2016년 10월 이미 보안 패치가 공개됐는데, SKT는 2016년 11월 이런 취약점을 가진 OS를 설치하고 유출 당시까지 보안 업데이트를 하지 않은 것으로 확인됐다.

2010년부터 해당 취약점의 실행을 탐지한 각종 상용 백신 프로그램을 설치하지 않았고, 이를 대체하는 보안 조치도 소홀히 한 것으로 나타났다.

또한 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만 4363건을 암호화하지 않고, 평문으로 HSS DB 등에 저장하기도 했다.

SKT는 2022년 유심 복제 등의 문제가 제기됨에 따라 암호화 조치를 검토하면서 타 통신사가 유심 인증키를 암호화해 저장하고 있는 것을 확인하고도 조치하지 않았다.

개인정보 보호책임자(CPO) 지정 및 업무 수행을 소홀히 한 것은 물론이고, 사실인지 후 법령에서 정한 72시간 내 유출 사실을 통지하지 않은 것으로 조사됐다.

개인정보위가 즉시 유출통지할 것을 긴급 의결했으나, SKT는 7일 뒤 '유출 가능성'에 대해 통지하고 26일 뒤에야 '유출 확정' 통지를 했다.

개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.

한편 이번 과징금은 개인정보위가 부과한 역대 최대 규모다. 앞서 2022년 9월 구글과 메타에 각각 692억 원, 308억 원, LG유플러스 68억 원 등의 과징금을 부과한 바 있다.

개인정보보호법에 따르면 과징금은 매출액의 3% 이내에서 부과할 수 있다. 유출 사안과 관련 없는 매출액은 산정 기준에서 제외된다.

업계에서는 지난해 SKT 무선통신사업 매출(약 12조 7700억 원)을 기준으로 최대 3000억 원대 과징금이 부과될 수 있다는 전망이 나왔으나, SK텔레콤의 위약금 면제, 재발 방지 대책 마련 등이 감경 사유로 작용한 것으로 풀이된다.

lgirim@news1.kr