130.

[보도자료 읽기] 개인정보위, ‘SK텔레콤 개인정보 유출사고’ 제재처분 의결

• 새 탭 열기
• 작성 이력 보기

▷ 3개월여간 집중조사 TF 운영 통해, “이동통신 관련 핵심 네트워크‧시스템에 대한 관리 소홀로 2,300여만 명의 주요 디지털 개인정보(USIM 정보 등) 유출” 결론

※ 인증키(Ki)도 유출되어 USIM 복제에 대한 사회적 우려가 컸으며, 조사 과정에서 “방화벽 설정 미흡으로 외부 침입 취약, 서버 계정정보(ID/PW) 관리 부실, 암호화 미실시, 악성프로그램 방지 소홀 등” 보호법 위반사항 확인

(중략)

2. 유출 관련 사실 관계 : 유출 내용 및 경위

TF의 조사 결과, SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 23,244,649명*(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인되었다.

* 휴대전화번호·IMSI 기준 유출 규모는 약 2,696만 건으로 확인되나, 법인·공공회선, 다회선, 기타 회선 등을 제외한 이용자로 산정

이번 사고는 개인을 식별‧인증하고 연결하는 핵심 수단으로 휴대전화가 이용되고 각종 서비스의 본인 확인이 일상화된 상황에서, 이동통신 이용에 필요한 가입자식별번호(IMSI) 및 유심 인증키가 대규모로 유출됨에 따라 이동통신 서비스의 신뢰도가 저하되고, 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다.

조사결과, 해커는 ① ’21. 8월 SKT 내부망에 최초침투하여 다수 서버에 악성 프로그램을 설치하였으며, ② ’22. 6월 ICAS(통합고객인증시스템)* 내 악성프로그램을 설치하여 추가 거점을 확보하였다. ③ 이후, ’25. 4. 18. HSS(홈가입자서버)** DB에 저장된 이용자의 개인정보(9.82GB)를 외부로 유출하였다.

* ICAS(Intergrated Customer Authentication System) : Tworld 등 사내 서비스 및 사전 인가된 협력사 대상 SKT 가입자의 가입 상태, 정보 및 가입 상품 조회용 API 제공

** HSS(Home Subscriber Server) : 가입자의 이동통신망 접속을 위한 인증시스템

(중략)

[참고] 상세 개인정보 유출 경위

① (초기침투) ’21. 8. 6. 해커는 인터넷과 연결된 SKT 관리망 서버에 접근하여 원격제어 프로그램을 설치하였고, 원격으로 접속한 관리망에서 평문으로 저장된 계정정보*를 획득

* 최소 2,365대 서버, 4,899개 계정정보(ID/PW) 평문 저장

- 해커는 획득한 계정을 이용하여 코어망 서버에 접속하였고, 운영 OS의 취약점(DirtyCow*)을 활용하여 관리자 권한을 획득한 뒤 HSS DB에 악성프로그램인 BPFDoor**를 설치

* 리눅스 OS의 일반계정을 이용해 관리자 권한(root)을 획득할 수 있는 보안 취약점

** 포트를 열지 않고도 해커의 명령을 받아 원격으로 시스템을 제어하는 악성코드

② (추가 거점확보) ’22. 6. 15 해커는 ICAS 내 2대 서버에 접근하여 초기침투와 동일한 OS취약점을 이용해 관리자 권한을 획득한 뒤 서버에 BPFDoor 등 악성프로그램 감염

③ (개인정보 유출) ’25. 4. 18. 해커는 이미 설치된 악성프로그램을 이용해 외부에서 HSS DB에 명령어를 입력하였고, HSS DB에 저장된 이용자 개인정보를 조회, 파일로 추출한 뒤 압축하여 외부로 유출

- 감염된 ICAS 서버에는 이용자의 이름, 생년월일, 주소, 이메일, 단말기식별번호(IMEI) 등이 임시 저장되어 있으나, 해당 서버의 방화벽 로그기록을 4개월만 보관하여, ’24. 12월 ~ ’25. 4월간은 외부로 유출된 정황은 없는 것으로 확인

- 다만, 그 이전 기간(’22.6~’24.12)에 대해서는 유출여부를 확인할 수 없었음

3. 개인정보 보호법 위반 사항

SKT의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 SKT의 기본적인 보안 조치 미비와 관리 소홀로 인해 발생한 것으로 확인되었다. 조사 과정에서 확인된 주요 위반 사항은 다음과 같다.

1) 안전조치 의무 위반

① 접근통제조치 소홀

SKT는 기본적인 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었다.

SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결하여 운영하면서, 인터넷망(국내·외)에서 SKT 내부 관리망 서버로의 접근을 제한없이 허용하였다. 또한, 관리망 서버는 이번 유출 사고가 발생한 HSS와 상호접속이 불필요함에도 이를 허용하여, 해커가 인터넷망에서 HSS까지 접속하여 HSS DB 내 저장된 유심 정보 등을 외부로 전송할 수 있었다.

또한, SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 하였다. 특히 SKT는 ’22. 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부나 추가적인 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아, 이번 유출 사고를 사전에 방지할 기회를 놓친 사실이 확인되었다.

② 접근권한 관리 소홀

한편, SKT는 다수 서버(약 2,365개)의 계정정보(ID/비밀번호 약 4,899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영하였다. 이에 해커는 획득한 계정정보를 활용하여 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 조회·추출할 수 있었다.

③ 보안 업데이트 미조치 등

이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 ’16. 10월에 이미 보안 경보가 발령되었고, 보안 패치가 공개된 사항이었다. SKT는 이를 인지하고 있었음에도, ’16. 11월 이러한 보안 취약점을 가진 OS를 설치하였으며, ’25.4.월 유출 당시까지도 보안 업데이트를 실시하지 않았다.

또한, 최소 ’20년부터 각종 상용 백신 프로그램은 해당 취약점의 실행을 탐지하고 있었으나, SKT는 ’25. 4월까지 이를 설치하지 않았을 뿐만 아니라 백신 미설치를 대체하는 보안 조치마저도 소홀히 하여 결과적으로 이번 유출 사고를 막지 못하였다.

④ 유심 인증키를 암호화하지 않고 평문으로 저장

SKT는 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 26,144,363건을 암호화하지 않고, 평문으로 HSS DB 등에 저장하였다. 이에 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다.

특히 SKT는 ’22년경 언론에서 유심 복제 등의 이슈가 제기됨에 따라 암호화 조치를 검토하면서, 타 통신사가 유심 인증키(Ki)를 암호화하여 저장하고 있음을 확인하였음에도(LGU+(’11년~), KT(‘14년~)), 이를 조치하지 않아 유출 피해를 예방하지 못한 사실이 확인되었다.

※ 이 외 내부 관리계획 수립‧시행 및 점검 소홀, 접속기록 미보관 등 안전조치의무를 준수하지 않았고, SKT가 자체 마련한 내부규정도 다수 위반한 것으로 확인

2) 개인정보 보호책임자 지정 및 업무 수행 소홀 등

SKT는 IT 영역과 통신 인프라 영역 모두에서 이동통신 서비스 제공을 위한 개인정보를 처리함에도, 개인정보 보호책임자(Chief Privacy Officer, 이하 ‘CPO’)의 역할은 IT 영역(Tworld 등 웹·앱 서비스)에 한정되도록 구성·운영하였다.

이에 이번 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이루어지지 않은 것으로 확인되었다.

3) 개인정보 유출통지 지연

SKT는 ’25. 4. 19.경 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인하여 개인정보 유출 사실을 인지하였음에도, 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않아 이로 인한 사회적 혼란이 가중되었다.

이에 개인정보위는 즉시 유출통지를 진행할 것을 긴급 의결(5.2.)하였으나, SKT는 5.9. 유출 “가능성”에 대하여 통지를 실시하였으며, 7.28.에서야 유출 “확정” 통지를 실시하는 등 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않았다.

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 8월 27일(수) 제18회 전체회의를 열고, 개인정보 보호 법규를 위반한 SK텔레콤㈜(이하 ‘SKT’)에 대해 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과하고, 전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치(안)을 의결하였다.

 (중략)

개인정보위는 SKT가 국내 1위 이동통신사업자로서 안전조치의무를 소홀히 하여 유심정보를 비롯한 개인정보가 유출된 행위에 대해 과징금 1,347억 9,100만 원을 부과하는 한편, 정보 주체에 대한 유출 통지를 지연하여 신속한 피해 확산방지를 소홀히 한 행위에 대해 과태료 960만 원을 부과하기로 결정하였다.

아울러, 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악하여 안전조치를 강화하고, 개인정보 보호책임자(CPO)가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비할 것을 시정명령하였다.

또한, 현재 일부 고객관리시스템(T World 등)에 대해서만 획득한 개인정보보호관리체계(ISMS-P) 인증 범위를 이동통신 네트워크 시스템으로 확대하여 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고하도록 개선 권고하였다.

개인정보보호법 

제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.

9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

개인정보보호법

제75조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.

17. 제34조제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자

제34조(개인정보 유출 등의 통지ㆍ신고) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. <개정 2023. 3. 14.>

1. 유출등이 된 개인정보의 항목

2. 유출등이 된 시점과 그 경위

3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처