고학수 개인정보보호위원회 위원장 ©뉴시스
개인정보보호위원회가 SK텔레콤의 유심(USIM) 정보 유출 사고와 관련해 과징금 1347억9100만원과 과태료 960만원을 부과했다. 28일 열린 전체회의에서 위원회는 SK텔레콤의 다수 보안 의무 위반을 확인했다고 밝혔다.
조사 결과 SK텔레콤은 접근통제와 권한 관리가 부실했고, 보안 업데이트를 장기간 실시하지 않았다. 또한 유심 인증키를 암호화하지 않고 저장해 2324만여 명의 전화번호, IMSI, 유심 인증키 등 개인정보가 대규모로 유출됐다. 해커 침입 사실을 인지하고도 점검과 대응을 하지 않았으며, 이미 2016년 보안 경보가 발령된 OS 취약점도 방치한 것으로 드러났다.
SK텔레콤은 유출 사실을 알면서도 법정 기한 내 통지하지 않아 사회적 혼란을 가중시켰다. 고학수 개인정보보호위원장은 “국내 1위 이동통신사가 국민 절반의 개인정보를 허술하게 관리한 것은 매우 심각하다”고 지적했다.
위원회는 SK텔레콤에 개인정보 보호책임자(CPO) 역할 강화와 내부 거버넌스 정비를 명령했다. SK텔레콤은 입장문을 통해 “책임감을 갖고 고객정보 보호에 최선을 다하겠다”고 밝혔으나, 조치 사항이 결과에 반영되지 않은 점에 유감을 표했다.
개인정보위는 이번 사건을 계기로 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 새로운 보호 강화 방안을 내달 초 발표할 계획이다.