개인정보위, 'SK텔레콤 개인정보 유출사고' 제재처분 의결

다음은 대한민국 개인정보보호위원회에서 발표한 'SK텔레콤 개인정보 유출사고' 제재처분 의결 보도자료에 대한 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회는 2025년 8월 27일 SK텔레콤(SKT)의 대규모 개인정보 유출 사고에 대해 총 1,347억 9,100만 원의 과징금과 960만 원의 과태료를 부과하는 제재 처분을 의결했습니다. 이 사고는 SKT의 안전조치 의무 위반 및 유출 통지 지연으로 발생했으며, 이동통신 서비스 전체 이용자 23,244,649명(약 2,300만 명)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 핵심 개인정보가 유출된 것으로 확인되었습니다. 개인정보위는 SKT에 재발 방지를 위한 시정명령 및 개선권고를 내리고, 9월 초에는 대규모 개인정보 처리자의 안전관리체계 강화를 위한 종합대책을 발표할 예정입니다. 이번 처분은 국내 1위 이동통신 사업자의 개인정보 보호 책임과 중요성을 강조하는 중요한 계기가 될 것입니다.

2. 주요 내용

• 대규모 과징금 및 과태료 부과: 개인정보보호위원회는 2025년 8월 27일 SK텔레콤에 대해 1,347억 9,100만 원의 과징금과 960만 원의 과태료를 부과했습니다. 과징금은 SKT가 안전조치 의무를 소홀히 하여 대규모 개인정보 유출을 초래한 행위에 대한 제재이며, 과태료는 유출 사실을 법정 기한 내에 통지하지 않아 정보주체의 2차 피해 예방을 어렵게 한 것에 대한 처분입니다.
• 약 2,300만 명의 핵심 개인정보 유출: SKT의 이동통신 서비스 전체 이용자 23,244,649명(알뜰폰 포함, 중복 제거 기준)의 휴대전화번호, 가입자식별번호(IMSI, International Mobile Subscriber Identity: 이동통신 가입자를 식별하는 고유 번호), 유심 인증키(Ki, OPc: USIM 카드에 저장되어 이동통신망 접속 시 가입자를 인증하는 핵심 정보) 등 25종의 정보가 유출되었습니다. 특히 유심 인증키는 이동통신 서비스의 신뢰도와 직결되는 민감 정보임에도 암호화되지 않고 평문으로 저장되어 해커에게 그대로 노출된 것이 확인되었습니다.
• 심각한 안전조치 의무 위반 사항: SKT는 기본적인 보안 조치 미비와 관리 소홀로 인해 이번 사고를 초래했습니다. 주요 위반 사항으로는 인터넷망과 내부망 사이의 접근통제 미흡으로 해커의 불법적인 침입에 취약했으며, 다수 서버(약 2,365개)의 계정정보(ID/비밀번호 약 4,899개)를 암호 설정 없이 평문으로 저장·관리했습니다. 또한, 2016년에 이미 보안 경보가 발령되고 패치가 공개된 운영체제(OS) 보안 취약점(DirtyCow: 리눅스 OS의 일반 계정으로 관리자 권한을 획득할 수 있는 취약점)에 대한 보안 업데이트를 2025년 4월 유출 당시까지 실시하지 않았고, 악성프로그램(BPFDoor: 포트를 열지 않고도 해커의 명령을 받아 원격으로 시스템을 제어하는 악성코드) 방지 조치도 소홀히 했습니다.
• 유심 인증키 평문 저장 및 타사 대비 미흡: SKT는 가입자 인증과 이동통신 서비스 제공에 필수적인 유심 인증키 26,144,363건을 암호화하지 않고 홈가입자서버(HSS, Home Subscriber Server: 가입자의 이동통신망 접속을 위한 인증 시스템) DB 등에 평문으로 저장했습니다. 이는 2022년경 유심 복제 이슈가 제기되었을 때 타 통신사(LGU+는 2011년부터, KT는 2014년부터)가 유심 인증키를 암호화하여 저장하고 있음을 인지했음에도 불구하고 조치하지 않아 유출 피해를 예방하지 못한 것으로 드러났습니다.
• 개인정보 보호책임자(CPO) 역할 부재 및 거버넌스 문제: SKT는 개인정보 보호책임자(CPO, Chief Privacy Officer: 기업의 개인정보 보호 업무를 총괄하는 책임자)의 역할을 IT 영역(Tworld 등 웹·앱 서비스)에 한정하여 운영했습니다. 이로 인해 이번 유출 사고가 발생한 이동통신 인프라 영역은 CPO의 관리·감독이 사실상 이루어지지 않아 전사적인 개인정보 보호 거버넌스 체계에 심각한 문제점이 확인되었습니다.
• 개인정보 유출 통지 의무 지연: SKT는 2025년 4월 19일 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인하여 개인정보 유출을 인지했음에도 불구하고, 개인정보보호법에서 정한 72시간 이내에 유출된 이용자에게 통지하지 않았습니다. 5월 9일에야 유출 "가능성"에 대해 통지했고, 7월 28일에 유출 "확정" 통지를 실시하는 등 정보주체의 신속한 피해 예방을 위한 최소한의 의무조차 이행하지 않아 사회적 혼란을 가중시켰습니다.
• 재발 방지를 위한 시정명령 및 개선권고: 개인정보위는 SKT에 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악하여 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하며, 위탁 관리·감독을 철저히 하는 내용을 포함한 재발방지 대책을 3개월 내에 수립·보고하도록 시정명령했습니다. 또한, 현재 일부 고객관리시스템(T World 등)에만 획득한 개인정보보호관리체계(ISMS-P, Information Security Management System – Personal Information: 정보보호 및 개인정보보호 관리체계 인증) 인증 범위를 사고 발생 이동통신 네트워크 시스템으로 확대하도록 개선 권고했습니다.

3. 배경 및 목적

이번 제재 처분은 대한민국 1위 이동통신 사업자인 SK텔레콤에서 발생한 대규모 개인정보 유출 사고에 대한 개인정보보호위원회의 엄정한 대응입니다. 2025년 4월 22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고를 해옴에 따라, 개인정보위는 사건의 중대성을 감안하여 즉시 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성하여 약 3개월간 밀도 있는 조사를 진행했습니다. 이 사고는 개인을 식별하고 인증하는 핵심 수단인 휴대전화가 일상화된 상황에서, 이동통신 이용에 필수적인 가입자식별번호(IMSI) 및 유심 인증키(Ki)가 대규모로 유출되어 이동통신 서비스의 신뢰도를 저하시키고 사회적 불안감을 확산시키는 등 국민 생활에 중대한 영향을 미쳤습니다.

개인정보위의 이번 조치 목적은 단순히 특정 기업에 대한 제재를 넘어, 우리 사회 전반에 개인정보 보호의 중요성을 다시 한번 환기시키고 기업들이 이용자 개인정보 보호에 대한 책임을 다하도록 경각심을 주는 데 있습니다. 특히 대규모 개인정보를 보유하고 처리하는 사업자들이 관련 예산과 인력 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하도록 유도하고, 데이터 경제 시대에 개인정보 보호책임자(CPO)와 전담 조직이 기업 경영에서 차지하는 역할과 중요성을 제고하여 국가 전체의 개인정보 보호 체계를 한 단계 강화하는 것을 목표로 합니다.

4. 세부 추진 내용

개인정보위는 SKT의 유출 신고 당일인 4월 22일부터 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성하여 조사를 착수했습니다. 이 TF는 개인정보위 조사관 4명과 사내변호사·회계사 3명, KISA 조사관 7명 등 총 14명으로 구성되었으며, 약 3개월간 현장조사, 서면조사 및 디지털 증거수집 등을 통해 SKT의 주요 개인정보 처리 시스템을 대상으로 유출 여부, 규모, 그리고 개인정보 보호법상 안전조치 의무 준수 여부를 집중적으로 조사했습니다. 조사 과정에서는 SKT의 인터넷망과 내부망 간 접근통제 미흡, 서버 계정정보 관리 부실, 보안 업데이트 미조치, 유심 인증키 평문 저장 등 다수의 안전조치 의무 위반 사항과 개인정보 보호책임자(CPO)의 역할 부재, 유출 통지 지연 등이 구체적으로 확인되었습니다.

이번 제재 처분에는 SKT에 대한 구체적인 시정명령과 개선권고가 포함되었습니다. SKT는 3개월 이내에 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악하여 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하며, 위탁 관리·감독을 철저히 하는 내용을 담은 재발방지 대책을 수립하여 개인정보위에 보고해야 합니다. 또한, 현재 일부 고객관리시스템(T World 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 사고 발생 이동통신 네트워크·시스템으로 확대하여 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고받았습니다.

5. 기대 효과

이번 개인정보보호위원회의 SK텔레콤 제재 처분은 우리 사회 전반에 개인정보 보호의 중요성을 다시 한번 강력하게 환기시키는 계기가 될 것으로 기대됩니다. 특히 대규모 개인정보를 처리하는 국내 기업들에게 개인정보 관리체계 강화 및 예방적 보호 조치 마련에 대한 강력한 경각심을 심어줄 것입니다. 이를 통해 기업들은 개인정보 보호 관련 예산과 인력 투입을 단순한 비용이 아닌 필수적인 투자로 인식하게 되고, 개인정보 보호책임자(CPO)의 실질적인 권한과 역할을 강화하여 전사적인 개인정보 보호 거버넌스 체계를 확립하는 데 기여할 것입니다. 궁극적으로는 이용자 개인정보의 안전성이 전반적으로 향상되어 국민들이 디지털 환경에서 더욱 안심하고 서비스를 이용할 수 있게 되며, 데이터 경제 시대에 개인정보 보호 수준이 한 단계 높아지는 긍정적인 효과를 가져올 것으로 예상됩니다.

6. 향후 계획

개인정보보호위원회는 이번 SK텔레콤 사고와 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 더욱 강화할 계획입니다. 특히, 다음 달 초(9월 초)에는 대규모 처리자의 개인정보보호 및 보안 관련 투자 확대를 유도하기 위한 '개인정보 안전관리체계 강화 종합대책'을 발표할 예정입니다. 이 대책에는 제도개선, 인센티브 체계 개편 등 구체적인 방안이 담길 것입니다. 또한, 이번 사건과 관련하여 개인정보위에 접수된 약 2,025명의 집단 분쟁조정 신청 3건과 610여 건의 개인 분쟁조정 신청에 대해서는 처분 절차가 완료됨에 따라 중단되었던 분쟁조정 절차를 재개하여 피해 구제에도 적극적으로 나설 예정입니다.