개인정보보보호위원회가 SK텔레콤 해킹 사고에 대해 출범 이후 사상 최대 과징금인 1347억9100만원을 부과했다. 고학수 개인정보위 위원장은 직접 브리핑을 진행하며 과징금 사유를 발표했다.
고 위원장은 28일 오전 정부서울청사에서 ‘SK텔레콤 개인정보 유출사고’ 제재처분 의결에 대한 브리핑을 열었다. 개인정보위는 전날 제18회 전체회의를 열고 개인정보 보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원을 부과했다.
고 위원장은 정확한 과징금 산정 기준을 밝히지 않았으나 중대성의 경우 ‘매우 중대함’으로 결정했다고 밝혔다. 다만 SK텔레콤이 이번 해킹 사고로 경제적인 이득을 취하지 않은 부분에 대해서는 감경 사유로 작용했다고 설명했다.
그는 “SK텔레콤의 연결 재무제표상 2022년~2024년의 과거 3년간 전체 매출을 잡고 통신과 관련한 매출액 등을 산정해 기준금액을 정하게 됐다”며 “기준금액을 정한 다음에는 중대성 판단을 한 후 1, 2차 가중감경에 이어 최종 과징금 액수의 결정 등의 단계적 절차를 진행한다”라고 말했다.
이어 “중대성의 경우 매우 중대함으로 결정했고, 1~2차 조정에서는 3년이 넘는 위반 기간으로 가중됐으며 직접적인, 경제적인 이득을 취하지 않은 부분은 감경됐다”며 “위원회 위원들과 전체 회의뿐만 아니라 네 차례에 걸친 간담회를 진행했는데 하나의 개별 건을 가지고 이렇게 많은 간담회를 진행한 경우는 처음이었다”고 덧붙였다.
개인정보위는 14인의 집중조사 태스크포스(TF) 꾸려 이번 사태를 조사한 결과 LTE‧5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인했다.
또 해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치했다. 특히 SK텔레콤은 2022년 2월 해커가 홈가입자서버(HSS)에 접속한 사실을 확인했으나 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않았다.
고 위원장은 “저희는 (SK텔레콤)유출신고가 들어왔을 때부터 25종 모두 당연히 개인정보라 생각했다”며 “유심 정보는 가장 핵심이 되는 것이기에 개인정보라고 판단하는데 있어 내부적으로 의심한 적이 전혀 없다”고 강조했다.
이어 SK텔레콤 유심 복제에 관련해서는 “과거에는 일반적으로 가능했으나 현재 SK텔레콤의 경우 거의 불가능하다”며 “거의 불가능하게 된 이유는 유심 보호 서비스를 가입자에게 모두 적용했기 때문이지만 그 전에는 일부 원하는 인원에게만 적용했다”라고 말했다.
SK텔레콤 측도 적극적인 소명을 취한 것으로 알려졌으나 전날 전체회의에서는 문제가 있었다고 인정하는 등 자세를 낮춘 것으로 알려졌다.
고 위원장은 “SK텔레콤은 회사에 문제가 발생하기는 했으나 ‘합리적인 선에서 할 수 있는 건 다 했다’는 식의 소명과 법적인 절차의 관점에서도 매우 적극적으로 대응했었다”며 “반면 전체회의에서는 죄송스럽게 생각한다며 앞으로 위원회와 소통하면서 문제가 생기지 않도록 노력하겠는 의사를 표했다”고 전했다.
또 SK텔레콤 측이 과징금 규모에 대해 불복해 행정소송을 진행할 가능성에 대해서는 즉답을 피했으나 조사와 처분에 관련해서는 문제가 없다는 입장을 보였다.
고 위원장은 “SK텔레콤이 추후에 소송을 진행할 지에 대해서는 예단해서 말할 상황은 아닌 것 같다”며 “다만 개인정보위 조직 규모로 볼 때 이번 TF에 투입된 인력은 이례적으로 많은 인원이었으며 법률‧회계 전문가가 투입돼 절차를 진행했다”고 말했다.
