정보유출사고에 대한 통합검색 결과 - SNN 서울뉴스네트워크

"정보유출사고"에 대한 통합검색 결과

통합검색(36)

경제(14)

검색결과 총 36건

G마켓

쿠팡 사태 후폭풍…G마켓 ‘무단결제’ 발생하자 금융당국 긴급 점검 쿠팡이 대규모 정보 유출을 공개한 바로 그날, G마켓에서 모바일 상품권이 무단 결제되는 사고가 발생했다. 금융감독원은 이용자 60여 명이 피해를 신고함에 따라 현장점검에 들어갔다. 최근 롯데카드, SK텔레콤, KT 등에서도 개인정보 유출 사고가 이어지면서 명의도용 등 2차 피해 우려가 커진 상황이다. 금감원은 G마켓 측이 “내부 해킹은 아니며, 외부에서 탈취한 계정 정보로 로그인해 부정 결제가 이뤄졌다”고 주장한 만큼 사실관계와 보상 절차를 집중 점검할 계획이다. 피해는 간편결제 서비스 ‘스마일페이’에 등록된 카드가 사용된 것으로 파악됐으며, 개인별 피해액은 3만~20만 원 수준이다. 문제는 무단 결제 과정에서 사용된 비밀번호 등 간편결제 인증 정보가 어떻게 유출됐는지 여부다. 쿠팡에서 발생한 개인정보 유출이 직접적인 배경이라는 의심도 제기되지만, 업계에서는 잦은 사고와 중복된 패스워드 사용 관행 등으로 정확한 출처를 특정하기 어렵다는 분석이 나온다. G마켓은 별도 공지를 통해 “타사 보안 사고 여파로 도용·피싱 위험이 커지고 있다”며 비밀번호 변경을 권고했다. 환금성 상품 구매 시 본인확인 절차도 강화했다. 한편 금감원은 쿠팡페이에 대해서도 결제정보 유출 여부를 확인하기 위한 현장점검을 진행 중이다. 이커머스와 간편결제 사업자를 중심으로 전반적인 보안 관리체계에 대한 점검 필요성이 커지고 있다는 지적이 이어지고 있다.

2025.12.03

방미통위 "배송·쿠폰 미끼문자 주의"…'보호나라' 채널 확인 가능 방송미디어통신위원회는 쿠팡 개인정보 유출 사고, 민생회복 소비쿠폰 지급 등을 악용해 악성 앱을 유포하거나 모바일 결제 등을 유도하는 미끼 문자에 대해 이용자가 각별히 주의할 것을 당부했다. 3일 방미통위는 '주문하신 물건이 배송되었습니다', '민생회복 소비쿠폰 과다 지급 환수 안내 및 과징금 부과' 등의 내용으로 출처가 불분명한 문자가 오면 포함된 인터넷주소(URL)를 누르지 말고 관련 전화도 받지 않아야 한다고 강조했다. 출처가 불분명하고 URL을 포함하고 있는 문자는 카카오톡 '보호나라' 채널에 문자를 붙여넣기할 경우 정상 여부를 확인할 수 있다. 방미통위는 한국인터넷진흥원(KISA)과 함께 통신사, 삼성전자 등 단말기 제조사에 스팸 걸러내기 기능 강화를 요청했다.

2025.12.03

소비자단체 "쿠팡 김범석 의장, 소비자에 사죄하고 배상 대책 세워야" 한국소비자단체협의회는 쿠팡 창업자인 김범석 미국 쿠팡Inc 이사회 의장을 대상으로 대규모 개인정보 유출 사고에 대해 사죄에 나설 것을 요구했다. 협의회는 2일 국회에서 기자회견을 열어 "쿠팡에서 3370만명의 개인 정보 유출이라는 소비자 피해가 발생했다"며 "김범석 의장은 소비자에게 사죄하고 책임 있는 해결 방안을 마련하라"고 밝혔다. 이들은 "쿠팡은 개인정보 유출사건에 대한 사실관계를 투명하게 공개하고 소비자 보호와 배상 대책을 수립하라"고 강조했다. 협의회는 소비자들 사이에서 쿠팡 탈퇴 과정이 복잡하다는 문제가 제기되는 점도 언급하며 "모바일 등 1단계로 탈퇴가 가능하도록 조치하라"고 주장했다. 또 정부를 향해 “쿠팡의 개인정보 유출사건에 대해 엄중하고 철저하게 조사하고 처벌하라”며 "반복되는 개인정보 유출사건에 대한 범정부 대책을 수립하고, 대규모 개인정보 처리 사업자를 대상으로 개인정보 보호 실태를 전수 조사하라"고 촉구했다. 협의회는 "실효성 없는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)제도를 전면 재검토하고 소비자 피해에 대한 집단소송제, 징벌적 손해배상, 입증 책임 전환 제도를 조속히 도입하라"고 강조했다.

2025.12.02

넷마블

'해킹으로 개인정보 유출' 넷마블, 3N 중 보안 투자 규모 최저 최근 611만명의 대규모 개인정보 유출 사고가 발생한 국내 대형 게임사 넷마블이 3N(넥슨·넷마블·엔씨소프트)으로 불리는 게임업체 중 정보보호 투자 규모가 가장 작은 것으로 나타났다. 28일 한국인터넷진흥원(KISA)이 제공하는 '정보보호 공시현황'에 따르면 넷마블이 지난 한 해 지출한 정보보호 부문 투자액은 약 57억원이다. 이는 전체 정보기술 부문 투자액 1100억원의 5.2%에 해당했다. 같은 기간 엔씨소프트는 182억원, 넥슨코리아는 228억원을 보안 분야에 투자했다. 국내 상장 게임사 중 시가총액 1위인 크래프톤은 97억원을 지출했다. 넷마블은 2021년 기준 정보보호 분야에 73억원을 투입했지만 이듬해에는 66억원으로 감소했다. 2023년에도 투자액이 52억원으로 줄었고 지난해 기준으로는 소폭 늘어난 57억원을 기록해 3년간 27%가 감소했다. 이와 달리 엔씨소프트는 2022년 이후 게임 매출 감소 추세를 보였음에도 2021년 162억원에서 작년까지 3년간 정보보호 투자 규모를 약 12% 늘렸다. 같은 기간 넥슨코리아는 67%, 크래프톤은 138%나 늘렸다. 과학기술정보통신부는 2021년부터 KISA를 통해 정보보호 공시제도를 운용하고 있다. ISP(인터넷 서비스 제공사)·인터넷데이터센터(IDC)·상급종합병원·클라우드 서비스 제공자, 연 매출 3천억원 이상의 상장법인, 정보통신서비스 일일 평균 이용자 수 100만명 이상인 기업은 의무적으로 매년 정보보호 현황을 제출해야 한다. 넷마블은 전날 바둑·장기 등 PC 게임 포털사이트에서 해킹으로 611만명분의 고객 및 임직원 정보가 유출됐다고 자체 조사 결과를 밝혔다. 넷마블의 설명에 따르면 개인 식별이 불가능하나, 휴면 처리된 채 남아 있던 ID와 비밀번호 등 3100만여개, 2015년 이전 PC방 가맹점 6만6천여곳의 사업주 이름과 이메일 정보 등이 함께 유출됐다.

2025.11.28

범부처 정보보호 대책 "해킹 정황 확보되면 기업 신고 없이도 조사 가능" 정부는 잇따라 발생하는 사이버 침해 사고에 대응하기 위해 해킹 정황이 있을 경우 기업이 신고하지 않더라도 조사할 수 있도록 방침을 세웠다. 과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 범부처 정보보호 종합대책을 발표했다. 먼저 정부는 민간과 공공 분야를 막론하고 반복되는 최근의 해킹 사고를 심각한 위기 상황으로 인식하고 있다며 국가안보실을 중심으로 유기적인 대응 체계를 가동하겠다고 밝혔다. 이에 따르면 먼저 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도 개선에 나선다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출과 같이 보안 의무를 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다. 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 대대적인 점검에 착수하며 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진한다고 강조했다. 통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않으면 즉시 폐기한다. 또 해킹 발생 시 소비자의 증명책임 부담을 완화하고 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련한다는 방침이다. 정보보호 공시 의무 기업을 상장사 전체로 확대해 의무 대상도 현행 666개에서 2700여개로 늘린다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다. 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꿔 사후 관리를 강화하고 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어는 내년부터 단계적으로 제한하고 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꾼다. 또 민관군 합동 조직인 국정원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다고 밝혔다. 국정원의 조사·분석 도구를 민간과 공동 활용하고, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 정도로 줄인다는 목표를 세웠다. 여기에 공공의 정보보호 예산·인력을 확충하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높이며 공공기관 경영평가 시 사이버 보안 관련 점수도 현재의 2배로 올린다. 보안 산업 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다.

2025.10.22

개인정보보호위원회 명패 [개인정보보호위원회 제공]

개인정보위, ‘제도개선TF’ 구성…징벌적 과징금 도입 본격 검토 개인정보보호위원회가 대형 개인정보 유출 사고의 재발을 막기 위해 과징금 제도 전반을 손질한다. 특히 반복 유출 기업에 대한 ‘징벌적 과징금’ 도입과 온라인 개인정보 불법 거래에 대한 형사처벌 근거 마련이 본격 검토된다. TF 구성…학계·법조계 등 10여 개 단체 참여개인정보위는 13일 ‘개인정보 안전 관리체계 강화방안’의 후속 조치로 ‘제도개선 태스크포스(TF)’를 구성한다고 밝혔다. 이번 TF에는 개인정보위 위원과 개인정보보호법학회, 한국정보보호학회, 한국개인정보보호책임자협의회, 한국인터넷진흥원(KISA) 등 10여 개 단체와 전문가가 참여한다. 공동 단장은 개인정보위 부위원장과 염흥열 개인정보보호책임자협의회 회장이 맡는다. 징벌적 과징금·형사처벌 근거 검토 착수TF는 우선 대규모 개인정보 유출사고의 원인과 대응체계를 점검하고, 과징금 부과 기준 및 가중 요건을 구체화할 예정이다. 특히 동일 기업에서 반복 유출이 발생하는 경우 과징금 수준을 대폭 상향하고, 위반 행위의 중대성에 따라 징벌적 과징금 부과가 가능하도록 제도적 근거를 마련한다는 방침이다.또한 온라인상에서 개인정보를 사고파는 불법 유통 행위에 대해 형사처벌을 명시하는 법 개정 논의도 병행된다. 암호화·인증 강화, 자발적 신고, 피해자 보상 등 예방적 노력을 기울인 기업에는 과징금 감경 등 인센티브를 부여하는 방안도 검토 중이다. 피해구제 기금·정기점검 제도 신설 논의TF는 이와 함께 대규모 개인정보 처리 기업을 대상으로 한 정기점검 제도 도입, 피해자 개별 통지 의무 확대, 과징금 일부를 피해구제와 보안 투자에 활용하는 ‘피해구제 기금’ 신설 방안도 논의할 예정이다. 기업이 스스로 피해구제안을 제시하고 개인정보위 의결로 확정하는 ‘동의의결제’와 손해배상보험의 실효성 강화 역시 검토 대상에 포함된다. 과징금 1년 새 세 배 증가…실효성 강화 과제개인정보위는 지난해 개인정보보호법 개정을 통해 과징금 상한을 ‘위반행위 관련 매출액의 3%’에서 ‘전체 매출액의 3%’로 상향했다. 이에 따라 과징금 부과액은 2023년 232억 원에서 2024년 611억 원, 올해 9월 기준 1천658억 원으로 급증했다. 그럼에도 통신·금융사 등에서 대규모 해킹과 유출 사고가 이어지고 있어 실효적 제재와 예방 강화가 필요하다는 지적이 이어져 왔다. “연내 제도개선안 마련…산업계·시민단체 의견 반영”개인정보위는 “유출이 반복되는 구조적 문제를 해결하기 위한 제도개선안을 연내 마련할 것”이라며 “공청회 등을 통해 산업계와 시민단체 의견을 폭넓게 수렴하겠다”고 밝혔다.

2025.10.13

금융당국 "롯데카드, 허술한 정보보안 최대 수준 엄정한 제재" 해킹으로 인한 대규모 고객 정보 유출 사고가 발생한 롯데카드에 대해 금융당국이 18일 제재 방침을 밝혔다. 금융위원회는 18일 서울 광화문 정부서울청사에서 긴급 대책회의를 열어 "금감원 검사를 통해 위규 사항을 낱낱이 파악해 엄정한 조치를 취하겠다"며 "허술한 개인정보·정보보안 관리 사항에 대해서는 최대 수준의 엄정한 제재가 이뤄지도록 할 방침"이라고 말했다. 금융위는 전 금융권 금융 보안 실태를 전면 점검한다. 초동 조사 과정에서 확인된 보안 취약점은 2일 전 금융권에 자체 점검하도록 지시했다. 전체 카드사 보안 실태 역시 점검을 즉시 개시하기로 했다. 제도 개선도 추진해 중대한 보안 사고가 발생하면 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하고, 금융회사가 정부의 보안 개선 요구를 이행하지 않는 경우 지속적인 이행 강제금을 부과할 계획이다. 권대영 금융위 부위원장은 "보안 투자를 비용이나 가외 업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있는 만큼, 최고경영자(CEO) 책임 아래 전산 시스템 및 정보보호 체계 전반을 전면 재점검해달라"고 주문했다. 롯데카드는 이번 해킹 공격으로 297만명의 고객 정보가 유출된 것으로 확인됐다고 밝혔다. 유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 ▲ 연계 정보(CI) ▲ 주민등록번호 ▲ 가상 결제코드 ▲ 내부 식별번호 ▲ 간편결제 서비스 종류 등이다. 전체 유출 고객 가운데서도 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명이다. 유출 정보 범위는 카드번호, 유효기간, CVC번호 등으로 파악됐다. 롯데카드는 이들에게 카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다고 밝혔다.

2025.09.18

개인정보보호위원회

"개인정보 유출사고 반복 기업은 '징벌적 과징금'…노력 기업엔 인센티브" 정부가 SKT의 대규모 고객 유심(USIM) 정보 유출 사태를 계기로 같은 원인으로 개인정보 유출 사고가 반복되는 기업에는 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보보호를 위해 노력한 기업에는 인센티브가 주어진다. 개인정보보호위원회는 11일 '개인정보 안전관리 체계 강화 방안'을 발표했다. 이번 대책은 최근 SKT 고객정보 유출 사고에서 밝혀진 제도적·기술적 미비점을 보완하고, 급속히 발전하는 해킹 기술에 대응하기 위해 마련됐다. 개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 '공격표면관리'를 강화한다. 주요 정보에 대한 암호화 적용도 확대한다. 한편 평소부터 선제적 보호조치를 한 기업에는 과징금을 감경해주는 등 인센티브를 제공하고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다. 개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고 이동통신 등 핵심 분야에는 단계적 의무화를 검토한다. 기업 내부통제 강화를 위해 개인정보 보호 인력·예산 투자 기준을 제시하고, 이를 충족한 기업에는 혜택을 부여한다. 전문 개인정보보호책임자(CPO) 지정 의무기관은 최소 1명 이상 개인정보보호 전담인력을 배치하도록 추진한다. 전문 CPO 지정 의무기관은 매출액 1500억원 이상, 100만명 이상의 개인정보를 처리하는 기업을 포함한다. 일반 기업과 상급종합병원, 대학, 주요 공공시스템 운영기관 등 700여 곳이다. 전체 정보화 예산의 10% 이상은 개인정보보호예산으로 확보한다. 예산 기준을 충족하면 인센티브를 주는 방식도 검토 중이다. 최고경영자(CEO)가 개인정보 보호와 위험 관리에 최종 책임을 지도록 하고, 개인정보보호책임자(CPO)는 지정 신고제 도입, 이사회 정기 보고, 직무 보장 등을 통해 실질적 권한을 행사하도록 한다. 양청삼 개인정보위 개인정보정책국장은 "CPO가 서비스의 코어망에 대해서도 폭넓게 접근할 수 있도록 하고, CPO 임명에 관해 일정한 절차를 두는 등 법률·시행령 개정을 추진하겠다"며 "CPO가 명실상부하게 기관, 기업 내에서 개인정보 처리와 보호와 관련된 담당자로서 해야 할 역할을 할 수 있게 하겠다"고 설명했다. 개인정보위는 CPO와 정보보호최고책임자(CISO) 겸직을 제한하는 것은 고려하고 있지 않다고 덧붙였다. 최장혁 개인정보위 부위원장은 "CISO하고 CPO의 업무를 딱 나누긴 어렵고 사실 두 분야가 힘을 합쳐야 되는 부분"이라며 "지금 상황에서 엄격하게 겸직 제한을 둘 이유는 없다고 생각한다"고 밝혔다. 공공부문에 의무화된 '개인정보 영향평가'도 민간에 적용하며, 클라우드 사업자·설루션 공급자 등 법적 사각지대 관리도 강화한다. 개인정보위는 같은 원인으로 반복 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입도 검토한다. 피해가 예상되면 실제 유출된 사람뿐만 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 과징금을 피해자 구제에 활용하는 방안도 추진한다. '개인정보 옴부즈만'을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업에는 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다. 개인정보위는 이번 대책이 현장에 안착할 수 있도록 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어가겠다고 밝혔다. 고학수 개인정보위원장은 "사업자들이 개인정보 보호를 위한 투자를 단순히 '불필요한 비용'으로 여기지 말고, 고객 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식해야 한다"고 밝혔다.

2025.09.11

SKT

개인정보위, SKT에 과징금 1348억 '철퇴'…역대 최대 규모 개인정보보호위원회가 최악의 해킹 사고가 발생한 SK텔레콤에 과징금 1348억원을 부과했다. 2020년 개인정보위 출범 이래 역대 최대 액수다. 개인정보위는 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 개인정보위는 SKT의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했다고 밝혔다. 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점 등을 고려해 '매우 중대한 위반행위'로 판단했다고 설명했다. 위반행위를 시정하고 피해 회복을 위해 노력한 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 일부 감경했다는 것이 개인정보위 입장이다. 고학수 개인정보위원장은 전날 전체회의에 대해 "지금까지 SKT의 입장은 회사가 합리적인 선에서 할 수 있는 최선을 다했다는 입장이었는데, 어제는 문제가 있었고 죄송스럽게 생각한다는 쪽으로 달라졌다"고 언급했다. 또 "매우 매우 중대한 성격을 가진 정보가 유출됐는데 그 회사가 관리를 잘 못했다는 것에 관한 문제 인식을 대부분의 위원이 갖고 있었다"고 전했다. 개인정보위에 따르면 이번 해킹사고로 인해 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2696만건이었으나, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다. 조사 결과 해커는 2021년 8월 SKT 내부망에 첫 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후에는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다. 이용자 전체의 개인정보가 외부로 빠져나간 데에는 SKT가 기본적인 보안 조치를 제대로 하지 않았고, 관리에도 소홀했던 데 따른 것이라고 개인정보위는 판단했다. SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SKT 내부 관리망 서버로 접근을 제한 없이 허용했다. 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치에도 소홀했다. 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 예방할 기회도 놓쳤다. 시스템 내 서버에 대한 접근권한 관리도 소홀해, 다수 서버(약 2365개)의 계정정보(약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출할 수 있었다. 고 위원장은 SKT의 유출 데이터가 HSS에 있다가 싱가포르를 거쳐서 넘어간 흔적이 있다고 언급하며 해외 유출 가능성을 언급하기도 했다. 고 위원장은 "싱가포르를 거쳐서 어디로 갔는지 파악해야 한다"며 "수사당국에서 그에 대한 후속 조사를 하고 있는 것으로 안다"고 설명했다. SKT는 기본적인 보안 업데이트에도 소홀했다. 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 9년 전인 2016년 10월 보안 경보가 발령됐고, 보안 패치도 공개됐다. SKT는 이를 인지했음에도 같은 해 11월 해당 취약점을 가진 OS를 설치했고, 올해 4월 유출 당시까지도 보안 업데이트를 하지 않았다. 2020년부터 각종 상용 백신 프로그램이 관련 취약점의 실행을 탐지하고 있었음에도 이를 설치하지 않아 유출 사고가 발생했다. 가입자 인증과 이동통신 서비스 제공에 필수 인증정보인 유심 인증키(Ki) 2061만4363건을 암호화하지 않았다. 이를 평문으로 HSS DB 등에 저장해 해커가 유심 복제에 사용될 수 있는 유심 인증키 원본을 그대로 확보하도록 했다. 사내 개인정보보호책임자(CPO)의 역할도 IT 영역에 한정해 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태를 파악하지 못하고 있었다. 여기에 SKT는 개인정보가 유출된 이용자에게도 유출 사실을 뒤늦게 통지했다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SKT는 이행하지 않았다. 개인정보위가 5월 2일 즉시 유출통지를 할 것을 의결했으나 SKT는 같은 달 9일 '유출 가능성'에 대해서만 통지했고 7월 28일에야 ‘유출 확정’을 통지했다. 개인정보위는 SKT가 개인정보보호법에서 정한 최소한의 의무조차 이행하지 않았다고 지적했다. 개인정보위는 SKT에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 내렸다. 개인정보위는 SKT 해킹사태와 같은 사례가 또다시 발생하는 일이 없도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다. 일각에서 나오는 SKT의 행정소송 가능성에 대해 고 위원장은 "회사가 추후에 소송을 할지 여부는 제가 예단해서 얘기할 상황은 아닌 것 같다"며 "저희가 조사하고 처분하는 과정에서 TF를 꾸렸는데, 이례적으로 많은 인력을 투입했고 위원회가 할 수 있는 역량을 최대한 발휘했다"고 밝혔다. SKT는 "이번 결과에 무거운 책임감을 느끼며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔다.

2025.08.28

개인정보보호위원회

SKT 과징금 규모는 얼마? 빠르면 오늘 결정된다 개인정보보호위원회는 27일 전체회의에서 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 심의한다. 빠르면 이날 중으로 과징금의 규모가 확정될 수 있다. 개인정보위는 이날 오후 2시께 정부서울청사에서 비공개로 전체회의를 열어 SKT에 대한 제재안을 논의한다. 구체적인 과징금 액수와 제재 수위는 위원들의 논의를 거쳐 확정될 예정이다. 제재안이 의결되면 개인정보위는 28일 이에 대해 설명할 예정이다. 자료 보완이 필요하다고 판단될 경우에는 결론이 미뤄질 수도 있다. 개인정보위는 앞서 대부분의 조사 절차를 마무리하고 지난달 말 SKT에 처분 사전통지를 했다. 개인정보위는 4월 22일 고객 개인정보 유출 사고가 발생한 SKT에 대한 조사에 착수했다. 사전통지서에는 위반 사실, 적용 법령, 예정된 처분 내용과 의견 제출 기한, 증거자료 목록 등이 포함된다. 개인정보위는 SKT의 안전조치 의무 준수 여부 등을 중점적으로 들여다본 것으로 전해졌다. 앞서 개인정보위는 이번 SKT 해킹 사태와 관련해 "법과 원칙에 따라 엄정하게 처분한다"는 방침을 고수해 온 만큼 역대 최대 규모의 과징금이 부과될 지 시선이 모인다. 개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있다. 유출과 관련이 없는 매출액은 제외할 수 있으나 기업이 직접 위반 행위와 관련 없는 매출액을 증명해야 한다. 이를 토대로 예측한다면 지난해 SK텔레콤의 무선통신사업 매출(12조7700억원)을 적용할 경우 과징금이 최대 3천억원대 중반까지 이를 가능성도 있다. 하지만 SKT가 피해자 구제 및 재발 방지 대책을 마련한 점 등이 반영되면 실제 제재 수위는 1천억원 안팎으로 조정될 수 있다는 의견도 나온다. 개인정보위가 부과한 역대 최대 과징금은 2022년 9월 구글과 메타에 각각 692억원, 308억원을 부과한 총 1천억원이다. 구글과 메타는 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반했다. 개인정보 유출 사건에 대해서는 지난해 5월 '카카오톡 오픈채팅방 개인정보 유출' 사건에서 카카오에 내려진 151억 원이 최대였다.

2025.08.27