SK 해킹 사태 과징금 1348억 원, 개인정보보호역대 최대 처분 이유는?

 

 

 

SK텔레콤이 ‘유심 해킹’으로 역대 최대 과징금 약 1,348억 원을 부과받았습니다. 유출 규모,

보안 실패 원인, 향후 개선 조치까지 자세히 정리했습니다.

 

1. 사건 개요: SK 해킹 사태, 과연 무엇이 문제였나?

2025년 8월, SK텔레콤이 발생한 대규모 유심(USIM) 해킹 사태로 인해 과징금 약 1,348억 원(정확히 1,347억 9,100만 원)과

과태료 960만 원이 부과되었습니다. 이는 개인정보 보호 관련 과징금 중 역대 최대 규모입니다.

---

2. 유출 규모: 몇 명이 얼마나 유출됐나?

• 대상 인원: LTE·5G 서비스를 이용하는 전체 가입자 2,324만 명 (알뜰폰 포함, 중복 제거)
• 유출된 정보: 휴대전화번호, 가입자 식별번호(IMSI), 유심 인증키(Ki, OPc) 등 총 25종
• 데이터 규모: 약 9.82 GB, 약 2,696만 건의 개인정보 유출

---

3. 해킹 경위: 침투부터 유출까지의 전말

• 2021년 8월: 내부망 침투 및 악성 프로그램 설치
• 2022년 6월: 통합고객인증시스템(ICAS)에 악성코드 심어 추가 거점 확보
• 2025년 4월 18일: 홈가입자서버(HSS)에서 개인정보 추출해 외부 전송
• 보안 취약점 활용: DirtyCow 취약점 이용, 평문 계정 및 인증키 관리 등으로 보안에 구멍 발생

 

---

4. 주요 보안 실패 요인

• 내부망·관리망 시스템이 인터넷망과 물리적으로 구분되지 않음
• 평문으로 저장된 계정정보와 인증키
• 취약점(DirtyCow) 및 보안패치 미적용
• 침입 탐지 로그 미확인 등 탐지·대응 시스템 부실
• 개인정보보호책임자(CPO)의 역할이 IT 서비스 영역에 한정되어 전체 인프라 관리에 공백 존재

---

5. 통지 지연: 왜 과태료까지 부과됐나?

• SKT는 2025년 4월 19일 유출 사실을 인지했음에도, 법정 72시간 내 통지를 하지 않았습니다.
• 5월 9일에는 ‘유출 가능성’만 알렸고, 7월 28일에서야 ‘유출 확정’을 고객에게 통보했습니다.
• 이 지연 행위는 과태료 960만 원 부과의 직접적 근거가 되었습니다.

---

6. 과징금 산정 기준과 향후 대응 조치

• 과징금 산정은 2022~2024년 통신 관련 매출을 기반으로 ‘기준 금액’ 설정 후 적용
• 강화된 시정조치:
  • 전사 시스템 점검
  • CPO 권한 강화
  • ISMS-P 인증 범위 이동통신 네트워크 포함 확대
  • 9월 초 발표 예정인 ‘개인정보 안전관리체계 강화 종합대책’ 마련