SK텔레콤 과징금 전망, 개인정보 유출

 

"국내 1위 통신사의 메인서버가 뚫렸다... 이제 우리의 개인정보는 안전할 수 있을까?"

SKT 해킹 사태의 전모: 무엇이 어떻게 유출되었나?

지난 4월 22일, SK텔레콤(이하 SKT)은 개인정보위원회(이하 개인정보위)에 해킹 사고를 신고했습니다. 이로 인해 약 2,300만 명에 달하는 SKT 가입자의 개인정보가 유출 위험에 노출되었습니다. 개인정보위는 즉각 조사에 착수했으며, 최장혁 개인정보보호위원회 부위원장은 29일 정례브리핑에서 중요한 사실들을 공개했습니다.

메인서버 해킹 논란: SKT vs 개인정보위

가장 핵심적인 쟁점은 해킹의 대상이 '메인서버'였는지 여부입니다. SKT는 메인서버 해킹이 아니라고 주장했지만, 최장혁 부위원장은 "메인서버에서 (개인 정보) 유출이 있었다고 본다"며 명확하게 반박했습니다. 부위원장은 "우리나라 1위 통신사의 메인 서버가 해킹당했다는 자체가 굉장히 상징적"이라고 강조하며, SKT가 이를 부정하는 이유에 의문을 표했습니다.

사이버보안 전문가들은 메인서버 해킹이 확인된다면 이는 단순한 데이터 유출을 넘어서는 심각한 문제라고 지적합니다. 미국 사이버보안 전문업체 시스코의 2023년 보고서에 따르면, 주요 통신사의 메인서버 침해는 국가 인프라에 대한 위협으로까지 간주될 수 있습니다.

유출된 정보의 범위: 주민번호도 포함되었나?

현재 개인정보위는 "(해킹된) 유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인 서버에 적절한 안전 조치가 이뤄졌는지를 중점으로" 조사 중입니다. 다만 최 부위원장은 주민등록번호 유출 여부에 대해서는 "단정적으로 말씀드리기 어렵다"고 신중한 입장을 취했습니다.

국제 데이터 보안 기준인 ISO/IEC 27001에 따르면, 통신사의 경우 개인식별정보(PII)에 대한 특별 보호 의무가 있어, 이번 사태는 국제 보안 기준에서도 중대 사안으로 분류될 수 있습니다.

과징금 전망: "LG유플러스보다 훨씬 높을 것"

이번 사태가 주목받는 또 다른 이유는 예상되는 과징금 규모입니다. 최 부위원장은 "LG유플러스 때와는 차원이 많이 다를 것"이라며 "과징금 액수는 그보다 굉장히 높을 가능성이 있다"고 밝혔습니다.

주요 개인정보 유출 사건 과징금 비교

기업	발생 시기	유출 건수	과징금 규모	적용 법규
LG유플러스	2023년 7월	약 30만 건	68억원	위법행위 관련 매출액의 3%
SK텔레콤	2025년 4월	최대 2,300만 건	미정(LG유플러스보다 대폭 증가 예상)	전체 매출액의 3%(관련 없는 매출액 제외)

2023년 개인정보보호법 개정으로 과징금 기준이 '위법행위와 관련된 매출액의 3%'에서 '전체 매출액의 3%'로 상향되었습니다. 관련 없는 매출액을 증명해야 하는 책임이 기업에 있어, 과징금 부담이 실질적으로 증가했습니다. SKT의 경우 가입자 규모(2,300만 명)와 매출액을 고려할 때, 역대 최대 규모의 과징금이 예상됩니다.

기업의 개인정보 보호 인식과 투자

최 부위원장은 이번 사태를 통해 기업들의 개인정보 보호 인식 전환이 필요하다고 강조했습니다. "굴지의 대기업도 개인정보 예산이 눈에 띌 만큼 늘지 않았고, 인력 확보도 마찬가지"라며 "개인정보 분야에 대한 많은 투자와 인력 보강이 절실한 시점"이라고 말했습니다.

글로벌 사이버보안 시장 조사기관 가트너(Gartner)에 따르면, 한국 기업들의 정보보호 예산은 IT 예산의 평균 3.7%로, 글로벌 평균 8.2%에 크게 못 미치는 실정입니다. 대규모 유출 사고를 방지하기 위해서는 적극적인 투자가 선행되어야 한다는 목소리가 높아지고 있습니다.

다크웹 유출 우려와 후속 대응

현재까지 이번 SKT 해킹 사태로 이용자 정보가 다크웹으로 유출된 정황은 발견되지 않았습니다. 이정은 개인정보위 조사2과장은 "한국인터넷진흥원(KISA)과 함께 다크웹의 개인정보 유출을 모니터링하고 있으며, SKT건이 다크웹에 올라온 사실은 확인된 바 없다"고 밝혔습니다.

전문가들은 개인정보 유출 사고 발생 시 즉각적인 대응이 중요하다고 강조합니다. 유럽연합의 GDPR(일반 데이터 보호 규정)에서는 개인정보 유출 사고 발생 시 72시간 내 신고를 의무화하고 있으며, 한국도 이와 유사한 빠른 신고 시스템을 갖추고 있습니다.

딥시크 관련 최신 상황

한편, 최 부위원장은 전날 국내 신규 다운로드 서비스를 재개한 AI 앱 '딥시크'와 관련해서도 언급했습니다. "(개인정보위의) 시정·개선 권고를 이행하겠다는 답변이 왔으며, 60일 이내에 이행점검 여부를 확인할 예정"이라고 밝혔습니다. 또한 국외로 유출된 데이터 파기에 대해서는 "딥시크 측에서 파기했다고 했고, 딥시크도 글로벌 기업이기 때문에 충분히 할 수 있으리라 본다"고 설명했습니다.

마치며: 개인정보 보호의 중요성

이번 SKT 해킹 사태는 국내 최대 통신사의 개인정보 보안 취약점을 드러낸 사건으로, 기업의 개인정보 보호 인식과 투자 필요성을 다시 한번 일깨웠습니다. 개인정보위의 조사가 진행됨에 따라 구체적인 유출 정보와 과징금 규모가 밝혀질 예정이며, 이는 향후 기업들의 개인정보 보호 정책에 중요한 영향을 미칠 것으로 보입니다.

디지털 시대에 개인정보는 더욱 중요한 자산이 되었습니다. 기업들은 고객의 신뢰를 유지하기 위해 개인정보 보호에 더욱 적극적으로 투자하고, 소비자들은 자신의 정보가 어떻게 사용되고 보호되는지 관심을 기울여야 할 것입니다.

참고자료

• 개인정보보호위원회 2025년 4월 29일 정례브리핑
• Gartner, "2024 Information Security Spending Survey"
• CISCO, "Cybersecurity Threat Report 2023"
• 한국인터넷진흥원(KISA), "2024 사이버보안 실태조사"
• EU General Data Protection Regulation (GDPR)
• 개인정보보호법 개정안 (2023년 9월)