[이슈 인사이드] ‘사상 최대 과징금’ 맞은 SKT…보안 뚫린 이유와 과제는?

음영태 기자기사입력 2025.08.28 15:45

개인정보보호위원회는 SK텔레콤(이하 SKT)에 대해 개인정보 보호 법규 위반을 이유로 과징금 1347억9100만원과 과태료 960만원을 부과했다고 28일 밝혔다.

이는 개인정보위 출범 이후 최대 규모의 제재다.

이번 사태는 단순한 해킹 사고가 아니라, 보안 기본 원칙을 지키지 않은 운영 관리 실패가 핵심 원인으로 꼽힌다.

▲보안 침해 경위 및 주요 내용

개인정보위에 따르면 이번 해킹사고로 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 개인 정보가 유출됐다.

유출된 정보는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종에 이른다.

휴대전화번호를 기준으로 한 유출 규모는 약 2696만건으로 파악됐으나, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다.

이번 해킹은 2021년 8월 처음 발생했으며, 해커는 SKT 내부망에 침입해 악성 프로그램을 설치한 것으로 조사됐다.

이후 2022년 6월 통합고객인증시스템(ICAS)에도 악성 프로그램이 추가 설치됐다.

2025년 4월 18일, 해커는 홈가입자서버(HSS)의 데이터베이스(DB)에 저장된 개인정보 9.82GB를 외부로 유출했다.

개인정보위, SK텔레콤 개인정보 유출사고 제재처분 의결 [연합뉴스 제공]

▲사건의 본질은 ‘해킹’보다 ‘관리 부실’

개인정보위 조사 결과에 따르면 해커는 2021년 이미 SKT 내부망에 침투했으나, SKT는 2년 이상 이를 방치했다.

방화벽 미비, 서버 계정관리 부실, 암호화 미실시, 악성코드 탐지 시스템 미운영 등 기초적인 보안 관리 전반이 허술했다.

특히 유심 인증키(Ki)와 같은 핵심 인증정보를 암호화하지 않은 채 저장해 둔 점은 보안업계가 보기엔 상식 밖이라는 평가다.

이 정보는 해커가 이용자의 USIM을 복제하는 데 악용될 수 있다는 점에서 우려되는 대목이다.

[개인정보보호위원회 제공]

▲ 반복된 경고 무시…늑장 대응이 피해 키워

더 큰 문제는 경고 신호를 알면서도 무시했다는 점이다.

2016년 발견된 운영체제 취약점(DirtyCow)에 대한 보안 패치가 있었음에도, SKT는 이를 적용하지 않았다.

2022년 해커의 서버 침투 사실을 확인했지만, 추가 점검이나 차단 조치를 하지 않았다.

개인정보유출 통보 의무(72시간)를 어기고, 실제 확정 통보는 사고 발생 3개월 뒤에야 이뤄졌다.

이런 ‘소극적 대응’은 단순 실수가 아니라 조직문화와 거버넌스 문제로 해석된다.

보안 사고를 경제적 위험보다 "비용 부담"으로 바라본 태도가 사고 확산을 불렀다는 지적이다.

▲ ‘CPO 부재’…보안 거버넌스의 구조적 결함

이번 사태는 개인정보보호 책임자(CPO) 제도의 한계도 드러냈다.

SKT의 CPO는 주로 IT 서비스 영역만 관리했고, 실제 해킹이 발생한 ‘인프라 영역’은 제대로 파악하지 못했다.

즉, 개인정보 보호 총괄책임자가 '사실상 전사적 개인정보 관리'는 하지 않았던 것이다.

전문가들은 이를 두고 CPO 제도가 형식적이었음을 보여주는 사례라고 지적한다.

SKT [연합뉴스 제공]

▲"보안은 비용이 아닌 투자"

고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"라고 강조했다.

고학수 개인정보위원장이 강조했듯, 이번 제재는 단순히 SKT 한 기업의 문제가 아니라, 대규모 개인정보 처리 사업자 전체에 대한 경고로 해석된다.

개인정보를 대규모로 다루는 금융·의료·통신·플랫폼 기업들은 보안을 ‘필수 투자’로 전환해야 한다.

관리망과 인터넷망을 물리적으로 분리하고, 핵심 인증정보는 반드시 암호화해야 한다.

CPO 권한을 형식이 아닌 실질적인 전사 총괄 구조로 재편하는 거버넌스 전환이 필요하다.

▲SKT의 남은 과제

SKT는 "경영활동 전반에서 개인정보 보호를 핵심 가치로 삼겠다"라며 재발 방지를 약속했다.

개인 정보위는 SKT에 ▶이동통신 서비스 전반의 개인정보 처리 현황 파악 및 보안 강화, ▶CPO의 역할을 회사 전반으로 확대하도록 조직 정비, ▶향후 유사사례 재발 방지를 위한 안전관리 체계 정비 등에 대해 시정 조치를 명령했다.

개인정보위는 유사사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화하고, 개인정보 안전관리 체계 강화방안을 마련하여 9월 초 발표할 예정이다.

이번 SKT 과징금 부과는 기업의 허술한 개인정보 관리와 무책임한 대응이 얼마나 큰 사회적 비용을 초래하는지 보여주는 사례다.

이전 기사[금융진단] 재정 불안 고조에 주요국 초장기 국채금리 출렁 다음 기사[이슈인 문답-ESG] 유승준 세 번째 소송, 병역 기피와 사회적 신뢰의 시험대

관련 기사

안녕하세요2 이것은 테스트 기사입니다.

정부, 수도권 6만 가구 공급…용산·과천·성남 등 개발

정부가 서울·경기 주요 도심의 유휴부지를 중심으로 6만 가구 규모의 주택 공급 계획을 발표했다. 이는 수도권 공급 부족과 집값 불안 심리를 해소하기 위한 9·7 대책의 후속 조치로, 용산국제업무지구·과천·성남 등 입지 우수 지역이 중심이다.

SK하이닉스, AI 솔루션 전문 미국법인 설립

SK하이닉스가 AI 산업의 중심지인 미국에 AI 설루션 전문 회사 설립을 추진한다. SK하이닉스는 HBM 등으로 축적한 AI 메모리 기술 경쟁력을 기반으로 단순 메모리 제조사를 넘어 AI 데이터센터 생태계 전반을 아우르는 설루션 기업으로 도약하겠다는 구상을 29일 밝혔다. AI Co로 불리는 신생 회사를 통해 AI 역량을 보유한 기업에 대한 전략적 투자와 협업을 확대하고, 이를 바탕으로 메모리 경쟁력을 강화하는 한편 AI 데이터센터 전 분야에 적용 가능한 설루션을 제공하는 기업으로 성장시킨다는 계획이다.

삼성전자 4분기 영업익 20.1조원…메모리 최대 실적

삼성전자가 2025년 4분기 연결 기준으로 매출 93조8천억원, 영업이익 20조1천억원의 실적을 기록했다. 삼성전자는 2025년 4분기 실적을 발표하고, DS(Device Solutions)부문의 HBM(고대역폭메모리) 등 고부가 메모리 판매 확대와 메모리 가격 상승에 힘입어 역대 최대 분기 매출과 영업이익을 달성했다고 29일 밝혔다. 전사 매출은 전분기 대비 7조7천억원 증가한 93조8천억원으로 9% 늘었고, 영업이익은 전분기 대비 7조9천억원 증가한 20조1천억원으로 65% 확대됐다.

[경제 리포트] 1~11월 출생아 23만명 돌파…코로나 이전 수준 회복

11월 들어 출생아 수와 혼인 건수가 모두 증가하며 동월 기준으로 2019년 이후 최대로 늘었다. 지난해 1월부터 11월까지 태어난 아기가 23만 4천명으로 전년 대비 6.2% 늘면서 연간 출생아 수가 25만 명을 회복할 수 있을지 주목된다. 다만 고령화에 따른 사망자 증가로 인구 자연감소 흐름은 여전히 이어지고 있다.

2월 기업경기 3년 11개월 연속 부정적…내수·수출·투자 '트리플' 부진

국내 기업들의 경기 전망이 3년 11개월 연속 기준선(100)을 밑돌았다. 제조업과 비제조업 모두 부진을 벗어나지 못한 가운데, 내수·수출·투자 부문도 1년 8개월째 ‘트리플 부진’를 이어가고 있다.

정부, 설 성수품 27만톤 푼다…소상공인 39.3조원 공급

정부는 28일 역대 최대 규모의 성수품 공급과 금융 지원 등을 담은 민생안정대책을 발표했다. 정부는 설 명절을 앞두고 배추, 사과, 돼지고기 등 16대 성수품을 총 27만 톤 공급한다고 밝혔다. 이는 평시 대비 1.5배 수준이며, 역대 최대 물량이다. 더불어 정부는 910억 원의 재정을 투입해 성수품 할인행사를 지원, 최대 50% 할인된 가격으로 구매할 수 있도록 할 계획이다.

[이슈 인사이드] ‘사상 최대 과징금’ 맞은 SKT…보안 뚫린 이유와 과제는?