"개인정보유출"에 대한 통합검색 결과
통합검색(37)
정치(2)
검색결과 총 37건
배경훈 과기장관 "통신사 해킹 근본 대책 찾겠다" 배경훈 과학기술정보통신부 장관이 KT 무단 소액결제, SKT 개인정보 유출과 같은 통신사 사이버 침해 사고가 잇따르는 데 대한 입장을 밝혔다. 12일 배 장관은 서울 광화문에서 취임 50일을 기해 열린 기자 간담회에서 반복되는 통신사 사이버 침해 사고에 높아지는 국민 불편·우려에 대한 입장을 묻는 말에 “기존보다 반걸음, 한걸음 빠른 대응책을 고민해 해결책을 찾아나가겠다”고 답했다. 먼저 가장 최근인 KT 사이버 침해 사건에 대해서는 "(사건 발생 시기로 알려진) 8월 22일 이전부터 문제가 됐던 것들이 지금 터지는 것 아닌가 해서 종합적인 연관 관계를 분석 중"이라고 설명했다. 배 장관은 “AI에 관심을 가지는 것 이상으로 정보 보호 체계에 대한 관심을 많이 갖고 있으며, AI 대전환 시대에 앞서서 우리가 반드시 해결해야 하는 문제가 해킹 이슈”라고 강조했다. 또 "AI를 악용한 해킹 기술이 발전하는 상황에서 근본적인 대책을 세워야 하는데 거기에 대한 준비가 되어 있는가에 대한 고민이 매우 많다"고 했다. 배 장관은 "정보 보호 대전환 체계를 만드는 것이 매우 중요하며 류제명 2차관을 단장으로 정보 보호 대응 태스크포스(TF) 팀을 꾸려 할 수 있는 최대한의 대응을 해보고자 한다"고 덧붙였다. 또 사이버 침해를 당한 기업이 당국에 신고하지 않으면 당국 개입이 어려운 현행 제도를 개선할 필요성도 언급했다. 정보통신망법은 정보통신 서비스 제공자가 침해 사고를 인지하면 24시간 이내에 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고하고 위반 시 3천만원 이하의 과태료를 내도록 규정하고 있다. 배 장관은 "신고 이후에 당국이 조사할 수 있는 지금 체계를 바꾸기 위해서 국회와 소통 중"이라며 "통신사들도 정부를 믿고 문제가 생겼을 때 바로 신고하거나 상의할 수 있어야 할 것"이라고 말했다. 휴대전화 출시 단계에서 해킹 예방 애플리케이션 설치, 통신망 차원의 스미싱 차단, 국가적 차원의 화이트해커 육성 등 별도 대책 마련의 필요성도 언급했다.
6시간 전
"개인정보 유출사고 반복 기업은 '징벌적 과징금'…노력 기업엔 인센티브" 정부가 SKT의 대규모 고객 유심(USIM) 정보 유출 사태를 계기로 같은 원인으로 개인정보 유출 사고가 반복되는 기업에는 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보보호를 위해 노력한 기업에는 인센티브가 주어진다. 개인정보보호위원회는 11일 '개인정보 안전관리 체계 강화 방안'을 발표했다. 이번 대책은 최근 SKT 고객정보 유출 사고에서 밝혀진 제도적·기술적 미비점을 보완하고, 급속히 발전하는 해킹 기술에 대응하기 위해 마련됐다. 개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 '공격표면관리'를 강화한다. 주요 정보에 대한 암호화 적용도 확대한다. 한편 평소부터 선제적 보호조치를 한 기업에는 과징금을 감경해주는 등 인센티브를 제공하고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다. 개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고 이동통신 등 핵심 분야에는 단계적 의무화를 검토한다. 기업 내부통제 강화를 위해 개인정보 보호 인력·예산 투자 기준을 제시하고, 이를 충족한 기업에는 혜택을 부여한다. 전문 개인정보보호책임자(CPO) 지정 의무기관은 최소 1명 이상 개인정보보호 전담인력을 배치하도록 추진한다. 전문 CPO 지정 의무기관은 매출액 1500억원 이상, 100만명 이상의 개인정보를 처리하는 기업을 포함한다. 일반 기업과 상급종합병원, 대학, 주요 공공시스템 운영기관 등 700여 곳이다. 전체 정보화 예산의 10% 이상은 개인정보보호예산으로 확보한다. 예산 기준을 충족하면 인센티브를 주는 방식도 검토 중이다. 최고경영자(CEO)가 개인정보 보호와 위험 관리에 최종 책임을 지도록 하고, 개인정보보호책임자(CPO)는 지정 신고제 도입, 이사회 정기 보고, 직무 보장 등을 통해 실질적 권한을 행사하도록 한다. 양청삼 개인정보위 개인정보정책국장은 "CPO가 서비스의 코어망에 대해서도 폭넓게 접근할 수 있도록 하고, CPO 임명에 관해 일정한 절차를 두는 등 법률·시행령 개정을 추진하겠다"며 "CPO가 명실상부하게 기관, 기업 내에서 개인정보 처리와 보호와 관련된 담당자로서 해야 할 역할을 할 수 있게 하겠다"고 설명했다. 개인정보위는 CPO와 정보보호최고책임자(CISO) 겸직을 제한하는 것은 고려하고 있지 않다고 덧붙였다. 최장혁 개인정보위 부위원장은 "CISO하고 CPO의 업무를 딱 나누긴 어렵고 사실 두 분야가 힘을 합쳐야 되는 부분"이라며 "지금 상황에서 엄격하게 겸직 제한을 둘 이유는 없다고 생각한다"고 밝혔다. 공공부문에 의무화된 '개인정보 영향평가'도 민간에 적용하며, 클라우드 사업자·설루션 공급자 등 법적 사각지대 관리도 강화한다. 개인정보위는 같은 원인으로 반복 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입도 검토한다. 피해가 예상되면 실제 유출된 사람뿐만 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 과징금을 피해자 구제에 활용하는 방안도 추진한다. '개인정보 옴부즈만'을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업에는 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다. 개인정보위는 이번 대책이 현장에 안착할 수 있도록 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어가겠다고 밝혔다. 고학수 개인정보위원장은 "사업자들이 개인정보 보호를 위한 투자를 단순히 '불필요한 비용'으로 여기지 말고, 고객 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식해야 한다"고 밝혔다.
2025.09.11
KT 이용자 5561명 유심 정보 유출 가능성…"100% 보상책 강구" KT가 불법 초소형 기지국을 통한 이용자 5561명의 개인정보 유출 가능성을 확인하고 개인정보보호위원회에 신고했다고 11일 밝혔다. 이날 김영섭 대표는 기자회견을 열어 무단 소액결제 피해 사태에 대해 머리 숙여 사과했다. 김 대표는 "최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점을 사과 드리고자 무거운 마음으로 이 자리에 섰다. 국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다"고 말했다. 또 "관계 당국과 사고 원인을 파악 중이며 모든 역량을 투입해 추가 피해가 일어나지 않도록 기술적 조치를 취하고 피해 고객에게 100% 보상책을 강구하겠다"며 "통신사로서 의무와 역할을 다하겠다"고 덧붙였다. KT는 자체 조사 결과 불법 초소형 기지국을 통해 일부 이용자의 가입자식별정보(IMSI)가 유출된 정황을 확인했다고 밝혔다. IMSI는 가입자마다 부여된 고유의 번호, 유심(USIM)에 저장되는 개인정보를 뜻한다. 불법 초소형 기지국의 신호 수신 이력이 있는 이용자 중에서 IMSI 유출 가능성이 있는 것으로 확인된 경우가 5561명으로 파악됐다. KT는 해당 이용자들에게는 이날 개인정보보호위 신고한 사실과 피해 사실 여부 조회 방법, 유심 교체 신청 및 보호서비스 가입 링크에 대해 문자 메시지(SMS)로 안내했다. 또 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원의 유심을 무료 교체하고 유심 보호 서비스를 제공할 방침이다. KT는 충분한 유심 물량을 확보했고, 24시간 전담 고객센터를 개설했다고 덧붙였다.
2025.09.11
'개인정보 유출' 몽클레르, 과징금·과태료 8800만원 부과 개인정보보호위원회는 개인정보 안전조치를 소홀히 한 결과 23만명 가까이 개인정보가 유출된 몽클레르코리아에 과징금 8101만원 및 과태료 720만원을 각각 부과한다고 11일 밝혔다. 개인정보위는 전날인 10일 정부서울청사에서 전체 회의를 열어 이같이 의결했다. 개인정보위에 따르면 몽클레르는 2021년 12월 개인정보처리시스템 해킹으로 고객 정보가 유출된 사실을 2022년 1월 17일 인지했다. 유출된 정보는 성명, 생일, 이메일주소, 카드번호, 배송방법, 쇼핑특성, 신체 사이즈를 제외한 구매 정보 등이다. 개인정보 유출 사실을 통지하는 법정 기한은 24시간이었지만, 몽클레르는 이를 넘어 2022년 1월 20일 이용자에게 이같은 사실을 통지했다. 개인정보위에도 이틀 뒤인 1월 22일에야 신고했다. 개인정보보호법은 24시간 내 유출 사실을 신고·통지하도록 규정하고 있었다. 현재는 2023년 9월 개정된 개인정보보호법에 따라 개인정보처리자가 72시간 이내에 유출을 신고·통지해야 한다. 해커는 관리자 권한을 가진 직원의 계정을 탈취해 보안정책을 관리하는 도메인 컨트롤러 서버에 악성 소프트웨어를 심어, 고객 개인정보를 빼내고 기존 데이터를 암호화했다. 몽클레르는 2019년 6월부터 웹사이트를 운영하면서 직원이 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 추가 인증수단을 적용하지 않은 사실이 드러났다. 개인정보위는 "개인정보처리자는 직원이 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호 등 안전한 인증수단을 추가로 이용하도록 조치해야 한다"고 당부했다.
2025.09.11
개인정보위, KT·LG유플러스 "개인정보 유출 의혹" 조사 착수 개인정보보호위원회가 10일 이용자 개인정보 유출 의혹을 받은 KT와 LG유플러스를 대상으로 조사에 착수했다. 개인정보위는 이날 보도자료를 통해 "최근 KT 이용자를 대상으로 한 무단 소액결제 사건이 다수 발생해 개인정보 유출 의혹이 제기되고 있다"며 "미국 보안 전문지(Phrack)를 통해 KT 및 LGU+에 대한 해킹 정황이 공개된 바 있다"며 조사에 착수하게 된 배경을 설명했다. 개인정보위는 두 통신사의 고객정보 유출 의혹을 언론보도 등을 통해 인지하 다음, 해당 기업을 대상으로 자료요구와 면담, 유관기관 등과 정보공유 등을 통해 사실관계를 확인해 왔다. 개인정보위는 "해당 기업으로부터 별도의 개인정보 유출신고는 접수되지 않았으나, 시민단체의 조사요청 민원과 소액결제 피해자의 침해신고 등이 접수됨에 따라 조사에 착수해 구체적인 사건 경위 및 개인정보 유출 여부 등을 집중적으로 확인할 예정"이라고 밝혔다.
2025.09.10
로봇청소기 일부 보안 취약…보안 수준 가장 높은 제품은 인기 가전인 로봇청소기 일부 제품은 보안에 취약한 것으로 나타났다. 이로 인해 카메라 강제 활성화, 사진 조회·탈취 등이 우려된다. 한국소비자원은 시중에 유통 중인 로봇청소기 6종을 대상으로 모바일 앱, 보안 업데이트 및 개인정보 보호정책 등 보안 실태 조사를 실시한 결과 일부 제품에서 불법적인 접근이나 조작 가능성이 확인됐다고 2일 밝혔다. 모바일앱 보안 점검 결과 나르왈 프레오 Z 울트라(YJCC017)·에코백스 디봇 X8 프로 옴니(DEX56) 제품은 사용자 인증 절차 미비로 인해 사용 과정에서 촬영된 집 내부 사진이 외부로 노출될 가능성이 확인됐다. 제3자가 사용자의 개인키 또는 ID 정보를 알게 되면 별도 인증 절차 없이 클라우드 서버에 저장된 사진·영상에 접근할 수도 있다. 로봇청소기는 장애물 회피와 동선 확인 등을 위해 카메라가 탑재돼 있고, 사용자가 장애물을 확인할 수 있도록 사진을 촬영한다. 드리미 X50 Ultra(RLX85CE)는 제3자가 카메라 기능을 강제 활성화할 수 있다는 보안 취약점이 발견됐다. 사용자가 제3자에게 일부 기능 권한을 공유한 경우 부여받은 권한 이외에 카메라 등 다른 기능을 강제로 활성화할 수 있어 제3자가 청소기 카메라를 통해 영상과 사진을 실시간으로 확인할 수 있었던 것으로 나타났다. 에코백스 제품은 모바일앱에 제품을 등록하면 제3자가 클라우드서버에 접속해 사용자의 핸드폰 사진첩에 악성 사진 파일을 저장할 수 있는 것으로 확인됐다. 소비자원은 각 회사가 지적된 내용을 수용해 이러한 보안 취약점에 대한 조치를 완료했다고 전했다. 또 한국인터넷진흥원과 함께 조치에 대해서 확인도 마쳤다. 이밖에도 보안 업데이트 정책, 개인정보 보호정책 등을 포함한 정책 관리 점검에서 드리미 제품의 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 것으로 드러났다. 점검은 보안 전문 인력의 고도화된 공격 시나리오에 기반해 이뤄졌다. 특정 수준 이상의 해커에 의해 악용될 수 있는 만큼 즉시 개선 조치를 완료했다. 하드웨어·네트워크·펌웨어 등 '기기 보안' 점검에서는 드리미, 에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮은 것으로 나타났다. 점검 결과 삼성전자, LG전자 2개 제품은 접근 권한 설정과 불법 조작을 방지하는 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련돼 종합 평가에서 상대적으로 우수했다. 소비자원은 조사 대상 모든 사업자에게 모바일앱 인증 절차, 하드웨어 보호, 펌웨어 보안 등 부족한 부분에 대해 보안성 향상을 위한 조치를 권고했으며 6개 사업자 모두 품질개선 계획을 회신했다고 밝혔다. 소비자원은 한국인터넷진흥원과 협력해 로봇청소기 등 사물인터넷(IoT) 제품의 보안 관리 강화를 위한 점검을 지속적으로 추진할 계획이다.
2025.09.02
롯데카드도 해킹 공격…"개인정보 유출 여부 확인 중" 롯데카드가 해킹 공격을 당해 개인정보 유출 여부를 확인 중이다. 롯데카드는 지난 달 해킹 공격을 당해 1일 금융당국에 전자금융 침해 사고 발생 사실을 신고했다. 롯데카드는 지난 달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고, 전체 서버를 점검하는 과정에서 3개 서버에서 악성코드를 발생해 삭제 조치했다. 지난 달 31일 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 발견했고, 금융당국에 신고했다. 롯데카드 측은 내부조사 결과 고객 정보 등 개인정보 유출 여부가 아직 확인되지 않았다며 금융당국과 조사를 통해 확인할 예정이라고 밝혔다. 롯데카드에 따르면 유출된 데이터 규모는 약 1.7기가바이트(GB) 정도로 파악됐다. 금융감독원 관계자는 "내일부터 현장 조사를 통해 공격 발생 경로 및 개인정보 유출 여부를 파악할 예정"이라고 밝혔다.
2025.09.02
개인정보위, SKT에 과징금 1348억 '철퇴'…역대 최대 규모 개인정보보호위원회가 최악의 해킹 사고가 발생한 SK텔레콤에 과징금 1348억원을 부과했다. 2020년 개인정보위 출범 이래 역대 최대 액수다. 개인정보위는 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 개인정보위는 SKT의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했다고 밝혔다. 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점 등을 고려해 '매우 중대한 위반행위'로 판단했다고 설명했다. 위반행위를 시정하고 피해 회복을 위해 노력한 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 일부 감경했다는 것이 개인정보위 입장이다. 고학수 개인정보위원장은 전날 전체회의에 대해 "지금까지 SKT의 입장은 회사가 합리적인 선에서 할 수 있는 최선을 다했다는 입장이었는데, 어제는 문제가 있었고 죄송스럽게 생각한다는 쪽으로 달라졌다"고 언급했다. 또 "매우 매우 중대한 성격을 가진 정보가 유출됐는데 그 회사가 관리를 잘 못했다는 것에 관한 문제 인식을 대부분의 위원이 갖고 있었다"고 전했다. 개인정보위에 따르면 이번 해킹사고로 인해 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2696만건이었으나, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다. 조사 결과 해커는 2021년 8월 SKT 내부망에 첫 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후에는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다. 이용자 전체의 개인정보가 외부로 빠져나간 데에는 SKT가 기본적인 보안 조치를 제대로 하지 않았고, 관리에도 소홀했던 데 따른 것이라고 개인정보위는 판단했다. SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SKT 내부 관리망 서버로 접근을 제한 없이 허용했다. 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치에도 소홀했다. 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 예방할 기회도 놓쳤다. 시스템 내 서버에 대한 접근권한 관리도 소홀해, 다수 서버(약 2365개)의 계정정보(약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출할 수 있었다. 고 위원장은 SKT의 유출 데이터가 HSS에 있다가 싱가포르를 거쳐서 넘어간 흔적이 있다고 언급하며 해외 유출 가능성을 언급하기도 했다. 고 위원장은 "싱가포르를 거쳐서 어디로 갔는지 파악해야 한다"며 "수사당국에서 그에 대한 후속 조사를 하고 있는 것으로 안다"고 설명했다. SKT는 기본적인 보안 업데이트에도 소홀했다. 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 9년 전인 2016년 10월 보안 경보가 발령됐고, 보안 패치도 공개됐다. SKT는 이를 인지했음에도 같은 해 11월 해당 취약점을 가진 OS를 설치했고, 올해 4월 유출 당시까지도 보안 업데이트를 하지 않았다. 2020년부터 각종 상용 백신 프로그램이 관련 취약점의 실행을 탐지하고 있었음에도 이를 설치하지 않아 유출 사고가 발생했다. 가입자 인증과 이동통신 서비스 제공에 필수 인증정보인 유심 인증키(Ki) 2061만4363건을 암호화하지 않았다. 이를 평문으로 HSS DB 등에 저장해 해커가 유심 복제에 사용될 수 있는 유심 인증키 원본을 그대로 확보하도록 했다. 사내 개인정보보호책임자(CPO)의 역할도 IT 영역에 한정해 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태를 파악하지 못하고 있었다. 여기에 SKT는 개인정보가 유출된 이용자에게도 유출 사실을 뒤늦게 통지했다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SKT는 이행하지 않았다. 개인정보위가 5월 2일 즉시 유출통지를 할 것을 의결했으나 SKT는 같은 달 9일 '유출 가능성'에 대해서만 통지했고 7월 28일에야 ‘유출 확정’을 통지했다. 개인정보위는 SKT가 개인정보보호법에서 정한 최소한의 의무조차 이행하지 않았다고 지적했다. 개인정보위는 SKT에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 내렸다. 개인정보위는 SKT 해킹사태와 같은 사례가 또다시 발생하는 일이 없도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다. 일각에서 나오는 SKT의 행정소송 가능성에 대해 고 위원장은 "회사가 추후에 소송을 할지 여부는 제가 예단해서 얘기할 상황은 아닌 것 같다"며 "저희가 조사하고 처분하는 과정에서 TF를 꾸렸는데, 이례적으로 많은 인력을 투입했고 위원회가 할 수 있는 역량을 최대한 발휘했다"고 밝혔다. SKT는 "이번 결과에 무거운 책임감을 느끼며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔다.
2025.08.28
SKT 과징금 규모는 얼마? 빠르면 오늘 결정된다 개인정보보호위원회는 27일 전체회의에서 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 심의한다. 빠르면 이날 중으로 과징금의 규모가 확정될 수 있다. 개인정보위는 이날 오후 2시께 정부서울청사에서 비공개로 전체회의를 열어 SKT에 대한 제재안을 논의한다. 구체적인 과징금 액수와 제재 수위는 위원들의 논의를 거쳐 확정될 예정이다. 제재안이 의결되면 개인정보위는 28일 이에 대해 설명할 예정이다. 자료 보완이 필요하다고 판단될 경우에는 결론이 미뤄질 수도 있다. 개인정보위는 앞서 대부분의 조사 절차를 마무리하고 지난달 말 SKT에 처분 사전통지를 했다. 개인정보위는 4월 22일 고객 개인정보 유출 사고가 발생한 SKT에 대한 조사에 착수했다. 사전통지서에는 위반 사실, 적용 법령, 예정된 처분 내용과 의견 제출 기한, 증거자료 목록 등이 포함된다. 개인정보위는 SKT의 안전조치 의무 준수 여부 등을 중점적으로 들여다본 것으로 전해졌다. 앞서 개인정보위는 이번 SKT 해킹 사태와 관련해 "법과 원칙에 따라 엄정하게 처분한다"는 방침을 고수해 온 만큼 역대 최대 규모의 과징금이 부과될 지 시선이 모인다. 개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있다. 유출과 관련이 없는 매출액은 제외할 수 있으나 기업이 직접 위반 행위와 관련 없는 매출액을 증명해야 한다. 이를 토대로 예측한다면 지난해 SK텔레콤의 무선통신사업 매출(12조7700억원)을 적용할 경우 과징금이 최대 3천억원대 중반까지 이를 가능성도 있다. 하지만 SKT가 피해자 구제 및 재발 방지 대책을 마련한 점 등이 반영되면 실제 제재 수위는 1천억원 안팎으로 조정될 수 있다는 의견도 나온다. 개인정보위가 부과한 역대 최대 과징금은 2022년 9월 구글과 메타에 각각 692억원, 308억원을 부과한 총 1천억원이다. 구글과 메타는 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반했다. 개인정보 유출 사건에 대해서는 지난해 5월 '카카오톡 오픈채팅방 개인정보 유출' 사건에서 카카오에 내려진 151억 원이 최대였다.
2025.08.27
개인정보위원장 "SKT 해킹사태, 국민 관심도 높아 신경써서 보는 중" 고학수 개인정보보호위원회 위원장은 6일 SKT 해킹사태에 따라 부여될 제재에 대해 "법과 원칙에 따라 엄정하게 처분할 것"이라며 "국민적 관심도가 워낙 높아 좀 더 신경 써서 보고 있다"고 밝혔다. 고 위원장은 이날 서울 중구 정동 1928 아트센터에서 열린 '생성형 AI와 프라이버시' 오픈 세미나에서 "과징금을 내릴 때 가중 사유와 감경 사유 등 여러 기준이 있는데 이런 요소들을 적용할지 말지를 전체회의를 통해 정할 것"이라고 전했다. 또 "조사는 실무선에서는 정상 페이스로 진행되고 있다"면서도 “구체적인 날짜는 정해지지 않았다. 8월 초라 상황을 봐야 한다”며 말을 아꼈다. 개인정보위는 지난달 말 SKT에 처분 사전통지를 하며 대부분의 조사 절차를 마무리했다. 개인정보위는 지난 4월 22일 고객 개인정보 유출 사고가 발생한 SKT에 대한 조사에 착수했다. 개인정보위의 조사 및 처분에 관한 규정에 따르면 조사관은 조사 결과보고서를 근거로 예정된 처분에 대해 사전통지서를 당사자에게 통지하고, 14일 이상의 기간을 정해 의견을 제출할 기회를 줘야 한다. SKT에 대한 처분안은 이르면 이달 27일 열릴 개인정보위 전체회의에 상정될 수 있다. 다만 SKT의 의견 소명 절차가 길어지거나, 위원들이 추가 자료 보완을 요청할 경우 상정 시점은 더 미뤄질 수 있다. 개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있고 유출 사안과 관련이 없는 매출액의 경우 산정 기준에서 제외할 수 있다. 통신업계에서는 지난해 SK텔레콤의 무선통신사업 매출(12조7700억여원)을 기준으로 과징금이 최대 3천억원대 중반까지 부과될 수 있다고 본다. 일각에서는 해킹 사고 이후 SK텔레콤이 피해자 구제와 재발 방지 대책을 마련한 점 등이 반영되면 과징금이 1천억원 안팎으로 감경될 것이라는 관측도 있다.
2025.08.06
