2300만 명 개인정보 유출, SKT에 역대 최대 과징금 1348억 원…무너진 보안, 무엇이 문제였나?

2300만 명의 개인정보를 위협한 SKT 해킹 사건

SK텔레콤(SKT)이 역대 최악의 해킹 사고로 인해 2300만 명 이상의 개인 정보를 유출, 개인정보보호위원회로부터 1348억 원의 과징금을 부과받았습니다. 이는 개인정보보호위원회가 출범한 이후 부과한 과징금 중 최대 규모입니다. 이번 사건은 단순한 정보 유출을 넘어, 우리 사회의 디지털 안전망에 심각한 경고를 던지는 계기가 되었습니다. SKT는 LTE·5G 서비스 이용자들의 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키 등 민감한 개인정보 25종을 유출, 엄청난 파장을 일으켰습니다.

 

 

 

 

해커의 침투, 2년간 이어진 은밀한 공격

해커는 2021년 8월 SKT 내부망에 처음 침투하여 악성 프로그램을 설치하는 방식으로 공격을 시작했습니다. 2022년 6월에는 통합고객인증시스템(ICAS)에 악성 프로그램을 설치하여 추가 거점을 확보하는 등, 치밀하고 은밀하게 공격을 진행했습니다. 이러한 장기간의 침투는 SKT의 허술한 보안 시스템과 관리 소홀을 여실히 드러냅니다. 특히, 2022년 2월 해커의 HSS 서버 접속 사실을 인지했음에도 불구하고 적절한 조치를 취하지 못한 점은 치명적인 실수로 지적됩니다.

 

 

 

 

무방비 상태였던 SKT의 보안, 무엇이 문제였나?

SKT의 보안 시스템은 여러 측면에서 취약점을 드러냈습니다. 첫째, 인터넷, 관리, 코어, 사내망을 동일한 네트워크로 연결하여 외부에서의 접근을 제한 없이 허용한 점입니다. 둘째, 침입탐지 시스템의 로그를 제대로 확인하지 않아 불법적인 유출 시도를 감지하지 못했습니다. 셋째, 9년 전에 보안 경고가 발령된 OS 보안 취약점을 방치하고, 기본적인 보안 업데이트조차 소홀히 했습니다. 넷째, 유심 인증키를 암호화하지 않고 평문으로 저장하여 해커가 유심 복제에 악용할 수 있도록 했습니다. 이러한 총체적인 부실은 대규모 정보 유출이라는 결과를 초래했습니다.

 

 

 

 

개인정보 유출 통지 지연, 고객과의 신뢰마저 훼손

SKT는 개인정보 유출 사실을 법적으로 정해진 시간 내에 통지하지 않아 고객과의 신뢰를 저버렸습니다. 개인정보보호법은 정보 유출 시 72시간 이내에 통지하도록 규정하고 있지만, SKT는 유출 가능성에 대해서만 통지하고, 유출 확정 통지는 훨씬 늦게 진행했습니다. 이는 고객의 알 권리를 침해하는 행위이며, 기업의 책임 있는 자세와는 거리가 먼 모습입니다.

 

 

 

 

개인정보보호, 이제는 선택이 아닌 필수

이번 SKT 해킹 사건은 개인정보 보호의 중요성을 다시 한번 강조합니다. 개인정보위는 SKT에 과징금 및 과태료 부과와 함께 안전 조치 강화, CPO의 역할 확대를 위한 시정명령을 내렸습니다. 또한, 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화 방안을 마련할 예정입니다. 고학수 개인정보위원장은 이번 사건을 계기로 사업자들이 개인정보 보호를 필수적인 투자로 인식해야 한다고 강조했습니다.

 

 

 

 

미래를 위한 교훈: 정보 보호의 중요성

SKT의 사례는 우리에게 많은 교훈을 줍니다. 기업은 개인정보 보호를 최우선 가치로 삼고, 적극적인 투자와 관리를 통해 사이버 공격에 대비해야 합니다. 또한, 고객과의 소통을 통해 신뢰를 구축하고, 투명한 정보 공개를 통해 책임을 다해야 합니다. 이번 사건을 통해 개인정보 보호의 중요성을 다시 한번 되새기고, 더 안전한 디지털 환경을 만들어나가야 합니다.

 

 

 

 

핵심만 콕!

SKT 해킹 사건은 2300만 명의 개인정보 유출이라는 최악의 결과를 초래했습니다. 허술한 보안 시스템, 늦장 대응, 고객과의 소통 부재 등 총체적인 문제점이 드러났습니다. 이번 사건을 통해 개인정보 보호의 중요성을 다시 한번 강조하며, 기업의 책임 있는 자세와 투명한 정보 공개를 촉구합니다.

 

 

 

 

자주 묻는 질문

Q.SKT는 왜 이렇게 큰 규모의 과징금을 받게 되었나요?

A.개인정보보호 법규 위반으로 인해 1348억 원이라는 역대 최대 규모의 과징금을 부과받았습니다. 이는 2300만 명의 개인정보 유출, 늦장 대응, 허술한 보안 시스템 등 여러 문제점이 복합적으로 작용한 결과입니다.

 

Q.유출된 개인정보는 무엇이며, 어떤 위험이 있나요?

A.유출된 정보는 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키 등 25종에 달합니다. 이는 스미싱, 보이스피싱, 유심 복제 등 다양한 사이버 범죄에 악용될 수 있으며, 심각한 금전적 피해와 정신적 고통을 초래할 수 있습니다.

 

Q.앞으로 개인정보 보호를 위해 어떤 노력이 필요할까요?

A.기업은 개인정보 보호를 최우선 가치로 삼고, 적극적인 투자와 관리를 통해 사이버 공격에 대비해야 합니다. 또한, 고객과의 소통을 강화하고, 투명한 정보 공개를 통해 신뢰를 구축해야 합니다. 정부는 개인정보 보호 관련 법규를 강화하고, 관리·감독을 철저히 해야 합니다.