SK텔레콤 기본적인 보안 조치 위반, 관리 소홀 확인

(서울=연합인포맥스) 변명섭 기자 = 개인정보보호위원회가 지난 4월 개인정보 유출을 이유로 SK텔레콤[017670]에 사상 최대 과징금을 부과했다.

개인온라인카지노 조작보호위원회는 SK텔레콤에 과징금 1천347억9천100만원과 과태료 960만원을 부과했다고 28일 밝혔다.

개인정보위는 전일 제18회 전체 회의를 열고 개인정보 보호 법규를 위반한 SK텔레콤에 이런 내용의 제재를 의결했다.

이번 과징금은 온라인카지노 조작가 부과한 역대 최대 과징금이다.

지금까지 역대 최대 과징금은 지난 2022년 9월 구글과 메타에 각각 692억원과 308억원을 부과한 총 1천억원이다.

온라인카지노 조작는 SK텔레콤이 지난 4월22일 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고를 해와 조사에 착수했다.

개인정보위에 따르면 SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE-5G 서비스 전체 이용자 2천324만4천649명의 휴대전화, 가입자식별번호(IMSI), 유심인증키 등 25종의 정보가 유출된 것으로 확인됐다.

온라인카지노 조작는 가입자식별번호와 유심 인증키가 대규모로 유출돼 이동통신 서비스의 신뢰도가 저하되고 사회적 불안감이 확산하는 등 국민 생활에 중대한 영향을 끼쳤다고 지적했다.

조사 결과 해커는 이미 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월 ICAS(통합고객인증시스템) 내 악성 프로그램을 설치해 추가 거점을 확보했다.

이후 2025년 4월18일 HSS(홈가입자서버) 데이터베이스에 저장된 이용자의 개인온라인카지노 조작를 외부로 유출했다.

온라인카지노 조작는 "이번 사고가 SK텔레콤의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 확인됐다"고 강조했다.

아울러 SK텔레콤은 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영됐다고 온라인카지노 조작는 지적했다.

특히 SK텔레콤은 2022년 2월 해커가 HSS서버에 접속한 사실을 확인했지만, 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 이번 유출 사고를 사전에 방지할 기회를 놓친 사실도 조사결과 확인됐다.

또한 SK텔레콤은 다수의 서버가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고 HSS에 비밀번호 입력 등 인증 절차 없이도 개인온라인카지노 조작를 조회할 수 있도록 운영했다.

이밖에 최소 2020년부터 각종 상용 백신 프로그램은 해당 취약점의 실행을 탐지했으나 SK텔레콤은 올해 4월까지 이를 설치하지 않았고 백신 미설치를 대체하는 보안 조치마저도 소홀히 했다는 점도 발견됐다.

다른 이동통신사가 유심 인증키를 암호화해 저장하고 있다는 점을 확인하고도 SK텔레콤은 이를 조치하지 않았고 개인온라인카지노 조작 보호책임자(CPO)의 관리·감독도 이뤄지지 않았다.

고학수 온라인카지노 조작 위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 필수적인 투자로 인식하길 바란다"고 말했다.

이어 "CPO와 전담 조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인온라인카지노 조작보호 체계가 한 단계 강화되는 계기가 되기 바란다"고 덧붙였다.

msbyun@yna.co.kr

<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지