개인정보보호위원회가 유심(USIM·가입자식별장치) 해킹으로 개인정보가 유출된 SK텔레콤(이하 SKT)에 역대 최대규모의 과징금을 부과했다.
개인정보위는 28일 정부서울청사에서 브리핑을 열고 SKT에 과징금 1347억9100만원과 과태료 960만원을 부과한다고 밝혔다. 개인정보위는 전날 전체회의를 열고 SKT에 대한 제재안을 심의했다.
개인정보위는 SKT가 다수의 안전조치의무를 소홀히 해 유심정보를 비롯한 고객 대부분의 개인정보가 유출됐다고 보고 이처럼 과징금을 매겼다. 이는 개인정보위가 부과한 과징금 중 역대 최대규모로, 지난 2022년 구글에 처분한 692억원을 훌쩍 뛰어넘는 수준이다.
앞서 개인정보위가 한국인터넷진흥원과 함께 태스크포스(TF)를 구성해 조사한 결과, SKT의 LTE(4세대 이동통신)·5G(5세대 이동통신)서비스 전체 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출됐다. 법인·공공회선, 다회선, 기타 회선을 제외한 수치다.
개인정보 위반 시 과징금의 상한액은 전체 매출액의 3%다. SKT의 3년 평균 별도기준 매출이 12조원인 만큼, 일각에서는 과징금이 수천억원에 달할 것이라는 예상도 나왔다.
고학수 개인정보위원장은 "법인고객이나 3G(3세대 이동통신) 등 관련이 없는 매출액을 제외해 기준금액을 정하고, 중대성 판단을 한 뒤 다중감경을 거쳐 최종 과징금을 선정했다"면서 "중대성은 매우 중대하다고 보고 위반기간이 길다는 데 대해 가중하는 한편, 회사의 시정조치나 피해보상을 위해 어떤 노력을 했는지 등을 고려했다"고 설명했다.
또한 개인정보위는 SKT가 정보주체에 대한 유출 통지를 지연시켰으며, 신속한 피해 확산방지를 소홀히 했다고 보고 과태료 960만원을 부과했다.
개인정보보호법에 따르면 개인정보 유출 사실을 파악했다면 인지 후 72시간 내 의무적으로 통보해야 한다. 그러나 SKT는 지난 4월19일 개인정보 유출 사실을 인지하고도 제때 통지하지 않았다. 개인정보위가 지난 5월2일 즉시 유출통지를 진행하도록 긴급 의결했지만, SKT는 7월28일에야 유출 확정통지를 실시했다.
개인정보위는 SKT에 이동통신 서비스 전반의 개인정보처리 현황을 면밀히 파악해 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하도록 시정명령을 내렸다. 또 개인정보보호관리체계(ISMS-P) 인증 범위를 일부 고객관리시스템(T월드 등)에 국한하지 않고, 통신 이동통신 네트워크 시스템으로 확대하도록 권고했다.
앞서 개인정보위는 조사 결과와 처분 방향에 대해 위원들 간 논의와 의견수렴을 위해 네 차례의 사전 검토회의를 거쳤다. 전날 전체회의에서는 사업자의 의견 개진과 질의·응답을 거친 후 최종 처분안을 확정했다.
고 위원장은 "이번 사건을 계기로 개인정보를 보유·처리하는 사업자들이 관련 에산과 인력 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"며 "데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고해 개인정보 보호체계가 한단계 강화되는 계기가 되길 바란다"고 말했다.
