대규모 개인정보 유출 사고 개요
조사 결과, SK텔레콤은 약 2,300만 명의 LTE·5G 가입자 정보를 해킹 공격으로 유출당한 것으로 파악됐습니다. 유출된 정보에는 휴대전화 번호, 가입자 인증정보(IMSI), 단말기 식별값, 일부 서비스 이용 데이터 등이 포함됐습니다.
사건은 2021년 말부터 시작된 것으로 추정됩니다. 외부 공격자는 SK텔레콤 내부망에 침투해 악성코드를 심었고, 이후 2022년과 2023년을 거치며 고객 정보 관리 시스템까지 접근권한을 확보한 것으로 드러났습니다. 최종적으로 2025년 4월, 가입자 데이터베이스에서 대규모로 정보를 빼낸 것으로 확인됐습니다.
관리 부실과 대응 실패
조사 과정에서 드러난 보안 관리상의 문제점은 다음과 같습니다:
보안 체계 미비
내부망과 외부망의 접근 통제가 허술했고, 일부 서버에서는 비밀번호 정책이 적용되지 않았으며 암호화되지 않은 민감 정보가 평문으로 저장돼 있었습니다.
초기 대응 실패
2022년 초 해킹 시도가 포착됐음에도, 사고 발생 가능성을 과소평가해 추가 점검이나 긴급 조치가 이루어지지 않았습니다. 이로 인해 공격자가 오랫동안 시스템에 상주하며 내부 데이터를 수집할 수 있었습니다.
암호화 미흡
고객 인증에 필요한 핵심 정보가 암호화되지 않은 채 관리되고 있었고, 보안 업데이트도 제때 이루어지지 않아 피해 규모가 커졌습니다.
정부 제재와 기업의 대응
개인정보보호위원회는 이번 사건을 “대규모 관리 소홀과 구조적 문제의 결과”라고 판단하고, 법 개정으로 강화된 기준을 적용해 과징금 1,348억 원을 부과했습니다. 추가로 재발 방지를 위한 보안 체계 강화 명령도 함께 내려졌습니다.
SK텔레콤은 “사태의 심각성을 인식하고 있으며, 고객 신뢰 회복을 위해 보안 시스템 전면 개편에 나서겠다”는 입장을 밝혔습니다. 향후 5년간 약 7,000억 원 규모의 보안 강화 투자를 추진할 계획이며, 전담 조직 신설과 개인정보 보호 책임자(CPO) 권한 확대도 검토 중인 것으로 알려졌습니다.
사건의 의미와 향후 전망
이번 사건은 두 가지 측면에서 의미가 큽니다:
제도적 변화
강화된 개인정보보호법 적용으로 기업 매출을 기준으로 과징금을 산정할 수 있게 되면서, 향후 비슷한 사고에서도 대규모 제재가 이어질 가능성이 높아졌습니다.
산업 전반의 보안 강화
국내 통신업계 전반에서 개인정보 보호 체계를 강화하려는 움직임이 본격화될 전망입니다. 다른 이동통신사들도 동일한 보안 취약점을 점검하고, 해킹 방어 체계를 전면 재정비할 것으로 예상됩니다.
 |
| 사진 출처: The Korea Times |
