개인정보보호위원회가 SK텔레콤의 대규모 개인정보 유출 사건과 관련해 사상 최대 규모의 과징금을 부과했다. 개인정보위 고학수 위원장은 28일 정부서울청사에서 브리핑을 열고 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원 부과를 의결했다고 밝혔다. 위원회는 전사적 개인정보 거버넌스 체계 정비, 시스템 전반 점검, 안전조치 강화 등 재발 방지를 위한 시정조치도 함께 명령했다.

조사 결과, SK텔레콤 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함)의 ▲휴대전화번호 ▲가입자식별번호(IMSI) ▲유심 인증키(Ki·OPc) 등 25종 정보가 유출된 것으로 확인됐다. 건수로는 약 2696만 건에 달한다.

해커는 2021년 8월 SK텔레콤 관리망 서버에 접근해 원격제어 프로그램을 설치했고, 이후 평문으로 저장된 계정 정보를 탈취했다. 2022년 6월에는 통합고객인증시스템(ICAS)을 장악해 추가 거점을 확보했고, 올해 4월 홈가입자서버(HSS) DB에서 약 9.82GB 규모 개인정보를 빼냈다. 위원회는 "보안 패치나 백신 설치만 했어도 탐지 가능했을 수준의 취약점을 방치했다"고 지적했다.

특히 개인정보보호책임자(CPO)의 역할이 IT 웹·앱 서비스에 국한돼 통신 인프라 영역을 관리하지 못했던 점도 문제로 지목됐다. 실제 유출은 인프라 영역에서 발생했지만 CPO는 개인정보 처리 실태조차 파악할 수 없었다. SK텔레콤은 사고 이후 CPO·CISO 인사를 교체하며 조직 개편에 나섰다.

과징금 산정 과정에서 개인정보위는 SK텔레콤의 최근 3년 매출 17조원 가운데 LTE·5G 개인고객 매출을 기준으로 삼았다. 유출이 3년 이상 장기간 이어졌다는 점은 가중 요인으로, 해커가 직접 경제적 이익을 취하지 않은 점은 감경 사유로 적용됐다. 최종 금액은 1348억원으로 확정됐다. 이는 2022년 구글·메타에 부과된 총 1000억원보다 큰 역대 최대치다.

고 위원장은 "SK텔레콤은 오랜 기간 취약한 상태를 방치했고 조치할 기회를 놓쳤다"며 "국민 절반이 쓰는 통신사임에도 핵심 개인정보 관리가 부실했다는 점에서 중대성이 크다"고 밝혔다.

SK텔레콤은 "조사와 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라며 "의결서 수령 후 면밀히 검토해 대응 방침을 정할 것"이라고 밝혔다.

이번 사건으로 SK텔레콤은 이미 2분기에만 유심 교체와 대리점 보상 등 2500억원 규모 일회성 비용을 반영한 데 이어, 과징금까지 더해지면서 하반기 실적 악화가 불가피할 전망이다. 개인정보위는 이번 사건을 계기로 대규모 개인정보 처리자 관리·감독을 강화하고, 9월 초 '개인정보 안전관리 강화 방안'을 발표할 예정이다.