유영상 SK텔레콤 대표이사가 지난 7월 4일 서울 중구 SKT타워에서 열린 해킹 사태 관련 입장 및 향후 계획 발표 기자회견에서 고개 숙여 사과하고 있다. 사진=SK텔레콤
SK텔레콤이 개인정보보호위원회로부터 역대 최대 규모의 과징금을 부과받으면서 통신업계와 투자자들의 이목이 쏠리고 있다.
수천만 명의 개인정보 유출이라는 초유의 사태가 발생한 데다, 유심 인증키까지 평문 상태로 관리된 사실이 드러나면서 기업 신뢰와 장기적 성장성에 타격을 줄 수 있다는 우려가 커지고 있다.
개인정보위는 SKT 대규모 개인정보 유출사고를 초래한 데 대해 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과했다.
조사 결과에 따르면, 해킹으로 인해 LTE·5G 전체 이용자 2,324만 4,649명의 휴대전화번호·가입자식별번호·USIM 인증키 등 총 25종의 정보가 유출된 것으로 확인됐다.
SKT가 보유하던 유심 인증키 2,614만 4,363건이 암호화되지 않은 평문으로 HSS DB 등에 저장되어 있었고, 해커는 이 정보를 그대로 빼간 정황이 드러났다.
주요 법 위반 및 관리 소홀 사항도 대거 확인됐다.
SKT는 인터넷망·관리망·코어망·사내망을 사실상 분리하지 않고 연결·운영해 외부에서 내부 관리망으로 접근이 가능하게 방치했으며, 관리망 서버에서 불필요하게 HSS에 접근을 허용했다.
또한 수천여 개 서버의 계정(ID/PW 약 4,899개)을 암호·접근 제한 없이 관리망에 보관했고, 침입탐지 로그를 제대로 확인하지 않아 이상 징후를 놓친 점이 드러났다.
운영체제의 알려진 취약점도 패치하지 않았고, 최소한의 백신 설치 등 방어 조치도 미흡했다.
또한 SKT는 개인정보 유출 사실을 법정 통지기한(72시간) 내에 유출 대상자에게 통지하지 않아 피해 예방·혼란 방지 의무를 위반했다.
CPO(개인정보 보호책임자) 권한이 IT 서비스 영역에만 한정돼 인프라·네트워크 영역의 개인정보 처리 현황을 사실상 파악·관리하지 못한 점도 문제로 지목됐다.
개인정보위는 이번 처분에 더해 SKT에 전사적 시스템 점검과 안전조치 강화, CPO의 역할 전사적 확대, ISMS-P 인증 범위 확대 등 시정명령·개선권고를 내렸다.
또한 유사사고 방지를 위해 대규모 개인정보 처리자에 대한 감독을 강화하고 개인정보 안전관리 체계 강화 종합대책을 다음 달 초 발표할 계획이라고 밝혔다.
이번 해킹사건으로 SKT의 신뢰 하락과 기업 가치에 부정적 영향이 불가피하다는 게 업계의 시각이다.
특히 SKT가 10년 이상 보안 취약점을 방치하고, 개인정보 유출 통지 의무까지 지연한 사실이 확인되면서 투자자 신뢰가 약화될 가능성이 제기된다.
증권가 관계자는 "과징금 규모 자체보다 이미지와 브랜드 가치 훼손이 더 큰 리스크"라며 "향후 통신 서비스 가입자 이탈, 기업 고객 계약에서 불이익을 받을 수 있다"고 내다봤다.
SKT는 즉각 사과문을 내고 보안 체계 전면 재정비에 나서겠다고 밝혔다.
회사 측은 "재발 방지를 위해 보안 인프라에 대한 투자를 대폭 확대하고, 개인정보 보호 거버넌스를 최고 수준으로 강화하겠다"고 밝혔다.
하지만 시장의 반응은 미온적이다. SKT의 이번 약속이 단순한 이미지 회복용인지, 실질적 혁신으로 이어질지가 관건이라는 분석이 나온다.
한편, 전문가들은 이번 사건이 SKT에 국한되지 않고, 플랫폼·금융·의료 등 개인정보 대량 보유 기업 전반에 경고 신호가 될 것으로 보고 있다.
실제로, 개인정보위는 내달 초 개인정보 안전관리 종합대책을 발표할 계획으로, 업계 전반의 규제 리스크가 확대될 전망이다.
한 IT산업 전문가는 "보안 투자를 비용이 아니라 필수 자산으로 인식하지 않으면, 이번 사태와 같은 초대형 제재가 반복될 수 있다"며 "기업 전반의 경영 전략에 보안 리스크 관리가 핵심 변수가 될 것"이라고 밝혔다.