개인정보보호위원회는 SK텔레콤의 대규모 개인정보 유출 사고와 관련해 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과했다고 28일 밝혔다.

이번 조치는 지난 4월 LTE·5G 서비스 가입자 약 2,300만 명의 개인정보가 해킹을 통해 유출된 사건에 따른 것이다. 유출된 정보에는 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등이 포함됐다. 특히 인증키가 평문으로 저장돼 유심 복제 가능성에 대한 사회적 우려가 커졌다.

조사 결과, 해커는 2021년 8월 SKT 내부망에 침투해 악성 프로그램을 설치한 뒤, 2025년 4월 홈가입자서버(HSS) DB에서 9.82GB 분량의 개인정보를 외부로 유출한 것으로 확인됐다. SKT는 방화벽 설정 미흡, 서버 계정정보 관리 부실, 보안 업데이트 미이행 등 기본적인 보안 의무를 소홀히 한 것으로 드러났다.

또한 SKT는 유출 사실을 인지하고도 법정 기한 내에 피해자들에게 통지하지 않아 통지 의무를 위반했다. 일부 이용자는 사고 발생 후 한 달 이상이 지나서야 유출 사실을 안내받았다.

개인정보위는 SKT에 대해 개인정보보호 책임자(CPO)의 역할을 전사 차원으로 확대하고, 향후 3개월 내 재발 방지 대책을 마련해 보고할 것을 명령했다. 아울러 이동통신 네트워크·시스템 전반에 대한 ISMS-P 인증 취득도 권고했다.

고학수 개인정보위 위원장은 “이번 사건은 개인정보 보호의 중요성을 다시 한번 일깨우는 계기”라며, “대규모 개인정보를 다루는 기업들은 보안을 비용이 아닌 필수 투자로 인식해야 한다”고 강조했다.