"KT"에 대한 통합검색 결과
통합검색(137)
정치(19)
검색결과 총 137건
이통사 해킹 언제까지? 이미 수천만 개인정보 빠져나가 전국적 파장을 일으킨 SK텔레콤의 유심 해킹 사태에 이어 KT의 무단 소액결제 사태까지, 주요 통신사에 가입한 국민들의 개인정보 보안이 위험에 처해 있다. 12일 통신업계에 따르면 지난 10년 동안 SK텔레콤, KT, LG유플러스 등 주요 통신사는 끊임없이 해킹 공격을 받으며 수천만건의 고객 개인정보를 유출당했다. 올해 4월, SK텔레콤에서 고객의 대부분인 2324만4천여명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 유출되는 사태가 벌어졌다. 해커는 2021년 8월부터 SK텔레콤 내부망과 통합고객인증시스템 등에 악성 프로그램을 설치해 올해 4월 18일 홈가입자서버(HSS) 데이터베이스에 저장된 이용자 전체의 개인정보를 외부로 유출한 정황이 파악됐다. SK텔레콤은 2022년 해커가 HSS 서버에 접속한 사실을 확인했음에도 추가적으로 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않은 것으로 알려졌다. 이 사태로 SK텔레콤은 개인정보보호위원회로부터 역대 최대 규모의 과징금 1348억원을 부과받았다. KT의 경우 2012년 영업 시스템 전산망이 해킹당해 가입자 873만여명의 개인정보가 유출됐다. 당시 유출된 정보에는 이름, 휴대전화번호, 주민등록번호, 사용 단말기 모델, 요금제, 요금액, 기기 변경일 등이 포함됐다. 2014년에는 해커 일당이 신종 해킹 프로그램을 개발, KT 홈페이지 가입 고객 1600만명 중 1200만명의 고객정보로 휴대전화 개통·판매 영업에 활용한 사건이 발생했다. 이들은 2013년 2월부터 1년간 신종 해킹 프로그램을 이용해 KT 홈페이지에 로그인, 1200만명의 개인정보를 빼낸 것으로 조사됐다. 해커들은 빼돌린 고객정보로 1만1천여 대의 휴대전화를 판매해 115억원의 매출을 거두고 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점에 불법 유통한 것으로 드러났다. LG유플러스는 2023년 1월 해킹 공격을 받아 약 30만건의 고객 정보가 불법 거래 사이트로 유출됐다. 유출된 정보는 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·유심(USIM) 고유번호 등 26개 항목이다. LG유플러스는 이 책임으로 개인정보보호위원회로부터 과징금 68억원과 과태료 2700만원 등을 부과받았다. 이처럼 통신사를 향한 해킹 공격이 계속되는 상황에 대해 보안업계 전문가는 "굵직한 사건이 알려졌을 뿐 이통사도 미처 인지하지 못하고 지나간 해킹은 훨씬 더 많을 것"이라며 "날로 발전하는 해커들의 공격 수준을 뛰어넘는 보안 체계를 갖추고 지속해 업그레이드해야 한다"고 조언했다.
2025.09.12
"개인정보 유출사고 반복 기업은 '징벌적 과징금'…노력 기업엔 인센티브" 정부가 SKT의 대규모 고객 유심(USIM) 정보 유출 사태를 계기로 같은 원인으로 개인정보 유출 사고가 반복되는 기업에는 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보보호를 위해 노력한 기업에는 인센티브가 주어진다. 개인정보보호위원회는 11일 '개인정보 안전관리 체계 강화 방안'을 발표했다. 이번 대책은 최근 SKT 고객정보 유출 사고에서 밝혀진 제도적·기술적 미비점을 보완하고, 급속히 발전하는 해킹 기술에 대응하기 위해 마련됐다. 개인정보위는 비슷한 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 '공격표면관리'를 강화한다. 주요 정보에 대한 암호화 적용도 확대한다. 한편 평소부터 선제적 보호조치를 한 기업에는 과징금을 감경해주는 등 인센티브를 제공하고, 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단할 계획이다. 개인정보보호관리체계(ISMS-P) 인증은 현장 심사 중심으로 고도화하고 이동통신 등 핵심 분야에는 단계적 의무화를 검토한다. 기업 내부통제 강화를 위해 개인정보 보호 인력·예산 투자 기준을 제시하고, 이를 충족한 기업에는 혜택을 부여한다. 전문 개인정보보호책임자(CPO) 지정 의무기관은 최소 1명 이상 개인정보보호 전담인력을 배치하도록 추진한다. 전문 CPO 지정 의무기관은 매출액 1500억원 이상, 100만명 이상의 개인정보를 처리하는 기업을 포함한다. 일반 기업과 상급종합병원, 대학, 주요 공공시스템 운영기관 등 700여 곳이다. 전체 정보화 예산의 10% 이상은 개인정보보호예산으로 확보한다. 예산 기준을 충족하면 인센티브를 주는 방식도 검토 중이다. 최고경영자(CEO)가 개인정보 보호와 위험 관리에 최종 책임을 지도록 하고, 개인정보보호책임자(CPO)는 지정 신고제 도입, 이사회 정기 보고, 직무 보장 등을 통해 실질적 권한을 행사하도록 한다. 양청삼 개인정보위 개인정보정책국장은 "CPO가 서비스의 코어망에 대해서도 폭넓게 접근할 수 있도록 하고, CPO 임명에 관해 일정한 절차를 두는 등 법률·시행령 개정을 추진하겠다"며 "CPO가 명실상부하게 기관, 기업 내에서 개인정보 처리와 보호와 관련된 담당자로서 해야 할 역할을 할 수 있게 하겠다"고 설명했다. 개인정보위는 CPO와 정보보호최고책임자(CISO) 겸직을 제한하는 것은 고려하고 있지 않다고 덧붙였다. 최장혁 개인정보위 부위원장은 "CISO하고 CPO의 업무를 딱 나누긴 어렵고 사실 두 분야가 힘을 합쳐야 되는 부분"이라며 "지금 상황에서 엄격하게 겸직 제한을 둘 이유는 없다고 생각한다"고 밝혔다. 공공부문에 의무화된 '개인정보 영향평가'도 민간에 적용하며, 클라우드 사업자·설루션 공급자 등 법적 사각지대 관리도 강화한다. 개인정보위는 같은 원인으로 반복 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입도 검토한다. 피해가 예상되면 실제 유출된 사람뿐만 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓힌다. 과징금을 피해자 구제에 활용하는 방안도 추진한다. '개인정보 옴부즈만'을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다. 일정 규모 이상의 기업에는 개인정보 유출에 대비한 보험상품 개발을 유도해 손해배상 보장제도의 실효성을 높인다. 개인정보위는 이번 대책이 현장에 안착할 수 있도록 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어가겠다고 밝혔다. 고학수 개인정보위원장은 "사업자들이 개인정보 보호를 위한 투자를 단순히 '불필요한 비용'으로 여기지 말고, 고객 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식해야 한다"고 밝혔다.
2025.09.11
KT 이용자 5561명 유심 정보 유출 가능성…"100% 보상책 강구" KT가 불법 초소형 기지국을 통한 이용자 5561명의 개인정보 유출 가능성을 확인하고 개인정보보호위원회에 신고했다고 11일 밝혔다. 이날 김영섭 대표는 기자회견을 열어 무단 소액결제 피해 사태에 대해 머리 숙여 사과했다. 김 대표는 "최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점을 사과 드리고자 무거운 마음으로 이 자리에 섰다. 국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다"고 말했다. 또 "관계 당국과 사고 원인을 파악 중이며 모든 역량을 투입해 추가 피해가 일어나지 않도록 기술적 조치를 취하고 피해 고객에게 100% 보상책을 강구하겠다"며 "통신사로서 의무와 역할을 다하겠다"고 덧붙였다. KT는 자체 조사 결과 불법 초소형 기지국을 통해 일부 이용자의 가입자식별정보(IMSI)가 유출된 정황을 확인했다고 밝혔다. IMSI는 가입자마다 부여된 고유의 번호, 유심(USIM)에 저장되는 개인정보를 뜻한다. 불법 초소형 기지국의 신호 수신 이력이 있는 이용자 중에서 IMSI 유출 가능성이 있는 것으로 확인된 경우가 5561명으로 파악됐다. KT는 해당 이용자들에게는 이날 개인정보보호위 신고한 사실과 피해 사실 여부 조회 방법, 유심 교체 신청 및 보호서비스 가입 링크에 대해 문자 메시지(SMS)로 안내했다. 또 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원의 유심을 무료 교체하고 유심 보호 서비스를 제공할 방침이다. KT는 충분한 유심 물량을 확보했고, 24시간 전담 고객센터를 개설했다고 덧붙였다.
2025.09.11
KT 무단 소액결제 피해 건수 278건, 피해액 1억7천만원 KT의 자체 집계 결과 최근 발생한 무단 소액결제 피해 건수는 10일 현재 278건, 피해 금액은 1억7천여만원에 이르는 것으로 나타났다. 이 사건에 대한 민관 합동 조사단을 꾸린 과학기술정보통신부 류제명 2차관은 이날 정부서울청사에서 현안 브리핑을 통해 이같이 발표했다. 류 차관은 "과기정통부는 이번 KT 침해 사고가 이용자 금전 피해가 있었던 점 등 중대한 침해 사고로 판단해 민관 합동 조사단을 통해 조사를 진행 중"이라고 덧붙였다. 조사 과정에서 KT 시스템에 등록되지 않은 불법 초소형 기지국(펨토셀)이 KT 통신망에 접속한 사실이 확인됐다. 조사단은 SK텔레콤과 LG유플러스에도 불법 기지국의 접속 여부를 확인할 것과 접속 차단 등 필요한 조처를 요구했다. 두 회사에서는 불법 기지국이 발견되지 않았다. 류 차관은 “만일의 사태를 대비해 통신 3사 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있다”면서 KT가 파악한 불법 기지국에서의 이상 트래픽 정보를 다른 통신사들에 점검용으로 공유할 것이라고 설명했다. 또 "미등록 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 소액결제가 이뤄졌는지, 어떤 정보를 탈취했는지 면밀히 조사할 것"이라며 "불법 기지국 외 다른 침해 사고 원인에 대해서도 심도 있게 조사하겠다"고 밝혔다. 류 차관은 "정부는 4월 SKT 사이버 침해 사고에 이어 국가 배후 조직의 해킹 정황, 휴대전화 소액결제 피해와 같은 사건이 연이어 발생한 상황을 엄중히 보고 있다"고 덧붙였다. 또 이용자에게 피해가 가지 않도록 철저히 관리하는 한편 통신 서비스에 대한 국민 신뢰 회복에 나서겠다고 밝혔다.
2025.09.10
개인정보위, KT·LG유플러스 "개인정보 유출 의혹" 조사 착수 개인정보보호위원회가 10일 이용자 개인정보 유출 의혹을 받은 KT와 LG유플러스를 대상으로 조사에 착수했다. 개인정보위는 이날 보도자료를 통해 "최근 KT 이용자를 대상으로 한 무단 소액결제 사건이 다수 발생해 개인정보 유출 의혹이 제기되고 있다"며 "미국 보안 전문지(Phrack)를 통해 KT 및 LGU+에 대한 해킹 정황이 공개된 바 있다"며 조사에 착수하게 된 배경을 설명했다. 개인정보위는 두 통신사의 고객정보 유출 의혹을 언론보도 등을 통해 인지하 다음, 해당 기업을 대상으로 자료요구와 면담, 유관기관 등과 정보공유 등을 통해 사실관계를 확인해 왔다. 개인정보위는 "해당 기업으로부터 별도의 개인정보 유출신고는 접수되지 않았으나, 시민단체의 조사요청 민원과 소액결제 피해자의 침해신고 등이 접수됨에 따라 조사에 착수해 구체적인 사건 경위 및 개인정보 유출 여부 등을 집중적으로 확인할 예정"이라고 밝혔다.
2025.09.10
KT 무단 소액결제 사건, 해커 '불법 초소형 기지국' 사용한 듯 서울 서남권·경기·인천 등 일부 지역에서 발생한 KT 이용자들의 무단 소액결제 피해를 조사 중인 민관 합동 조사단이 해커가 불법 초소형 기지국을 설치해 이용자들의 트래픽을 가로챈 것으로 파악했다. 조사단은 불법 기지국이 피해가 발견된 곳 이외의 장소에서도 접속할 수 있는 가능성을 확인했다고 밝혔다. 이에 기존 알려진 지역 외에도 무단 소액결제 피해가 나올 가능성이 있다. 과학기술정보통신부는 10일 보도자료를 통해 8일 KT의 사이버 침해 신고를 접수한 뒤 KT가 이용자 무단 소액결제의 원인 중 하나로 불법 초소형 기지국의 통신망 접속을 언급했다고 밝혔다. 과기정통부는 불법 기지국이 다른 장소에서도 접속 가능한 점을 확인하고 다음 달 새벽 1시 KT에 불법 기지국이 통신망에 접근하지 못하도록 즉각적인 대책을 요구했다. KT는 당시 운영 중인 기지국 중 해커가 사용한 불법 초소형 기지국 및 다른 불법 기지국이 존재하지 않는다고 확인했고, 당국 요구에 따라 같은 날 오전 9시 새로운 초소형 기지국의 통신망 접속을 전면 제한했다. 무단 소액결제 범행에 이용된 초소형 기지국은 소규모 셀 또는 '펨토셀'이라고 불리는 기기로 추정된다. 펨토셀은 반경 10m 통신을 제공하는 가정이나 소규모 사무실용 초소형, 저전력 이동통신 기지국으로 데이터 통신량 분산이나 음영지역 해소 목적으로 사용되며 '펨토 AP'(Access Point)로도 불린다. KT는 2013년 세계 최초로 광대역 LTE 홈 펨토셀을 개발했다며 상용화에 나선 적이 있다. 과기정통부는 해커가 불법 초소형 기지국을 활용해 정보를 탈취했는지, 또 어떤 방식으로 무단 소액결제가 이루어졌는지에 대해 정밀한 조사를 진행하고 있다고 밝혔다. 또 무단 소액결제 범행에 초소형 기지국이 악용된 내용을 다른 통신사에도 공유해 필요한 조처를 하도록 할 예정이다. 불법 기지국 외 다른 사이버 침해 사고 원인에 대해서도 깊이 있게 조사할 계획이다.
2025.09.10
KT '무단 소액결제 피해' 민관합동조사단 조사 나서 KT 이용자들을 대상으로 한 일부 지역에서의 무단 소액결제 피해에 대해 당국이 민관 합동 조사단을 꾸려 조사에 나섰다. 과학기술정보통신부는 9일 KT 이용자를 대상으로 한 무단 소액결제 사건 조사를 위해 최우혁 정보보호네트워크정책관을 단장으로 하는 민관 합동 조사단을 구성해 현장조사 등 신속한 원인 파악에 착수했다고 밝혔다. 과기정통부와 KISA는 전날 오후 7시 16분 KT로부터 사이버 침해 사고 신고를 접수했다. 정보통신망법에 따르면 정보통신서비스 제공자는 해킹 등 침해 사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 과기정통부는 신고 접수 이후 KT에 관련 자료 보전을 요구하고 같은 날 오후 10시50분 서울 서초구 KT 우면동 사옥에서 현장 조사에 착수했다. 조사단은 과기정통부 위원 2인, 한국인터넷진흥원(KISA) 4인, 민간 위원 6인으로 구성된다. 조사단 활동 범위는 최근 경기 광명시·서울 금천구 등을 중심으로 KT 이용자가 무단 소액결제 피해를 본 사건에 대해 해킹 등 사이버 침해 행위가 있었는지 원인분석과 방지 대책 지원이다. 4월 과기정통부는 SK텔레콤 해킹 사태 당시에도 민관 합동 조사단을 운영했다. 2014년부터 7차례 조사단을 운영해 왔으며 평균적으로 조사단 활동에 소요된 기간은 1∼2개월 정도다. 과기정통부는 무단 소액결제 추가 피해가 우려되는 등 이번 침해 사고가 중대하고 한 지역에 피해가 집중되는 등 이례적이어서 공격 방식에 대한 면밀한 분석이 필요하다고 판단, 조사단을 꾸렸다고 설명했다. 조사단과 함께 정보보호 분야 민간 전문가가 참여하는 자문단을 9일 구성해 사고 관련 기술적·정책적 자문을 받기로 했다. 과기정통부 민관 합동 조사단과 이 사건을 병합 수사 중인 경기남부경찰청은 사건 실체 파악에 협조하기로 했다. KT는 KISA에 사이버 침해 사고를 신고했다며 별도의 개인정보 해킹 정황은 없는 것으로 확인했다고 밝혔다. KT는 사건이 알려진 다음날인 5일 새벽부터 비정상적인 소액결제 시도를 차단했고 현재까지 추가적인 발생이 확인되지 않고 있다고 설명했다. 이번 사건은 8월 말부터 최근까지 주로 새벽 시간대 특정 지역의 KT 이용자들이 자신도 모르게 모바일 상품권 구매 등이 이뤄져 휴대전화 소액결제 피해를 봤다는 신고가 접수돼 알려졌다. 경기남부경찰청이 사건을 병합해 수사 중이다. 피해 금액은 광명경찰서 3800만원, 금천경찰서 780만원 등 총 4580만원이다. 부천 소사경찰서도 모바일 상품권 73만원 충전 등 총 411만원이 빠져나갔다는 KT 이용자 신고 5건을 받아 수사 중이다.
2025.09.09
방통위 "연말까지 위약금 면제" 권고, SKT "수락 어렵다" 결론 SK텔레콤이 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 권고를 수락하지 않는다. 4일 통신업계에 따르면 SKT는 전날까지였던 통신분쟁조정위원회의 회신 기한 내 의견서를 제출하지 않았다. 이로써 권고를 자동으로 수락하지 않게 된 셈이다. 지난달 방통위 통신분쟁조정위는 SKT 이용자가 올해 안에 이동통신 서비스를 해지할 경우 해지 위약금을 전액 면제하고 유선 인터넷 등과 결합한 상품에도 위약금을 반액 지급하라는 직권 조정을 결정했다. 권고는 SKT가 위약금 면제 마감 시한으로 지정한 7월 14일 이후 해지를 신청한 경우에도 위약금을 면제하라는 내용이었다. 여기에 더해 인터넷, IPTV 등 유선 서비스 결합 상품 해지로 이용자가 부담한 위약금(할인반환금)의 50%도 SKT가 지급하라고 했다. 이에 SKT 관계자는 "통신분쟁조정위원회의 결정에 대해 깊이 있게 검토했으나 회사에 미치는 중대한 영향과 유사 소송 및 집단 분쟁에 미칠 파급 효과 등을 종합적으로 고려해 수락이 어렵다고 결론 내렸다"고 전했다. 4월 발생한 해킹 피해 사고로 SK텔레콤은 소비자 보상금 5천억원, 정보보호 투자 금액 7천억원 등을 책정했고, 유심 교체 비용과 신규 영업 중단 기간 대리점이 본 손실 보전에도 2500억원을 지출했다고 밝혔다. 위약금 면제 규모는 알려지지 않았다. 직권 조정 결정은 양 당사자 모두 수락하면 성립된다. 한 쪽이라도 수락하지 않으면 조정 불성립으로 종결된다. 조정 권고는 법적 강제성은 띠지 않는다. SKT가 권고를 받아들이지 않음에 따라 조정을 신청한 당사자가 이 결과에 불복하면 소송으로 진행될 수 있다. KT도 SKT와 같은 날 내려진 방통위 통신분쟁조정위의 권고에 의견서를 제출하지 않아 받아들이지 않는다는 뜻을 정했다. 통신분쟁조정위는 KT가 1월 삼성전자 갤럭시 S25 사전 예약 당시 '선착순 1천명 한정' 고지를 누락하고 사은품 제공 혜택을 내걸고, 한정 인원수를 넘은 예약을 임의로 취소한 건과 관련해 예약 취소된 이용자의 혜택을 보장하라고 KT에 권고했다. KT 관계자는 "일반 예약자와 혜택 차액을 고려해 취소된 이용자에 대해 추가 보상한 점 등을 고려해 수용하지 않기로 결정했다"고 말했다.
2025.09.04
개인정보위, SKT에 과징금 1348억 '철퇴'…역대 최대 규모 개인정보보호위원회가 최악의 해킹 사고가 발생한 SK텔레콤에 과징금 1348억원을 부과했다. 2020년 개인정보위 출범 이래 역대 최대 액수다. 개인정보위는 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 개인정보위는 SKT의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했다고 밝혔다. 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점 등을 고려해 '매우 중대한 위반행위'로 판단했다고 설명했다. 위반행위를 시정하고 피해 회복을 위해 노력한 점, 가입자 인증에 필요한 핵심 정보가 유출된 점 등을 고려해 일부 감경했다는 것이 개인정보위 입장이다. 고학수 개인정보위원장은 전날 전체회의에 대해 "지금까지 SKT의 입장은 회사가 합리적인 선에서 할 수 있는 최선을 다했다는 입장이었는데, 어제는 문제가 있었고 죄송스럽게 생각한다는 쪽으로 달라졌다"고 언급했다. 또 "매우 매우 중대한 성격을 가진 정보가 유출됐는데 그 회사가 관리를 잘 못했다는 것에 관한 문제 인식을 대부분의 위원이 갖고 있었다"고 전했다. 개인정보위에 따르면 이번 해킹사고로 인해 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2696만건이었으나, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다. 조사 결과 해커는 2021년 8월 SKT 내부망에 첫 침투해 다수 서버에 악성 프로그램을 설치했고 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후에는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다. 이용자 전체의 개인정보가 외부로 빠져나간 데에는 SKT가 기본적인 보안 조치를 제대로 하지 않았고, 관리에도 소홀했던 데 따른 것이라고 개인정보위는 판단했다. SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SKT 내부 관리망 서버로 접근을 제한 없이 허용했다. 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치에도 소홀했다. 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 예방할 기회도 놓쳤다. 시스템 내 서버에 대한 접근권한 관리도 소홀해, 다수 서버(약 2365개)의 계정정보(약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출할 수 있었다. 고 위원장은 SKT의 유출 데이터가 HSS에 있다가 싱가포르를 거쳐서 넘어간 흔적이 있다고 언급하며 해외 유출 가능성을 언급하기도 했다. 고 위원장은 "싱가포르를 거쳐서 어디로 갔는지 파악해야 한다"며 "수사당국에서 그에 대한 후속 조사를 하고 있는 것으로 안다"고 설명했다. SKT는 기본적인 보안 업데이트에도 소홀했다. 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 9년 전인 2016년 10월 보안 경보가 발령됐고, 보안 패치도 공개됐다. SKT는 이를 인지했음에도 같은 해 11월 해당 취약점을 가진 OS를 설치했고, 올해 4월 유출 당시까지도 보안 업데이트를 하지 않았다. 2020년부터 각종 상용 백신 프로그램이 관련 취약점의 실행을 탐지하고 있었음에도 이를 설치하지 않아 유출 사고가 발생했다. 가입자 인증과 이동통신 서비스 제공에 필수 인증정보인 유심 인증키(Ki) 2061만4363건을 암호화하지 않았다. 이를 평문으로 HSS DB 등에 저장해 해커가 유심 복제에 사용될 수 있는 유심 인증키 원본을 그대로 확보하도록 했다. 사내 개인정보보호책임자(CPO)의 역할도 IT 영역에 한정해 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태를 파악하지 못하고 있었다. 여기에 SKT는 개인정보가 유출된 이용자에게도 유출 사실을 뒤늦게 통지했다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SKT는 이행하지 않았다. 개인정보위가 5월 2일 즉시 유출통지를 할 것을 의결했으나 SKT는 같은 달 9일 '유출 가능성'에 대해서만 통지했고 7월 28일에야 ‘유출 확정’을 통지했다. 개인정보위는 SKT가 개인정보보호법에서 정한 최소한의 의무조차 이행하지 않았다고 지적했다. 개인정보위는 SKT에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 내렸다. 개인정보위는 SKT 해킹사태와 같은 사례가 또다시 발생하는 일이 없도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다. 일각에서 나오는 SKT의 행정소송 가능성에 대해 고 위원장은 "회사가 추후에 소송을 할지 여부는 제가 예단해서 얘기할 상황은 아닌 것 같다"며 "저희가 조사하고 처분하는 과정에서 TF를 꾸렸는데, 이례적으로 많은 인력을 투입했고 위원회가 할 수 있는 역량을 최대한 발휘했다"고 밝혔다. SKT는 "이번 결과에 무거운 책임감을 느끼며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔다.
2025.08.28
"'탬퍼링'은 '부정 접촉', '골든 아워'는 '구명 시간'으로 다듬어 쓰세요" 문화체육관광부와 국립국어원은 '탬퍼링'(tampering), '그린 테크'(green tech)와 같이 자주 쓰이는 외국어 40개를 쉬운 우리말로 다듬었다고 28일 밝혔다. 이에 따르면 '탬퍼링'은 '부정 접촉', '그린 테크'는 '친환경 기술', '심 클로닝'(SIM cloning)은 '심 불법 복제', '소버린 에이아이'(sovereign AI)는 '독자 인공 지능'이나 '자국 인공지능' 등으로 다듬었다. '골든 아워'(golden hour)는 '구명 시간', '라스트 오더'(last order)는 '마지막 주문'이나 '마감 주문', '브레이크 타임'(break time)은 '영업 준비 시간'이나 '재정비 시간'으로 다듬어 쓸 수 있다. 문체부와 국립국어원은 올해 3∼6월 새말모임의 전문가 논의와 국민 수용도 조사를 거쳐 국어심의회 국어순화분과 위원회 심의·의결로 2025년 상반기 쉬운 우리말을 선정했다. 전국 15세 이상 남녀 3천명을 대상으로 한 '국민 수용도 조사'에서 응답자 78.6%가 '심 클로닝'을 반드시 우리말로 바꿔 써야 하는 외국어로 꼽았다. ‘친환경 기술’은 가장 잘 다듬은 말로 응답자의 89.0%의 호응을 받았다. 문체부와 국립국어원은 각 중앙부처에서 사용하는 전문용어도 쉬운 우리말로 다듬었다. '이니셔티브'(initiative)는 '구상', '파트너십'(partnership)은 '협력 관계'나 '동반 관계', '에이치알'(HR)은 '인사', '풀'(pool)은 '후보군', '원스톱'(onestop)은 '일괄'로 다듬어 쓸 수 있다. 문체부와 국립국어원은 앞으로도 새로 들어오는 외국어를 신속하게 다듬어 국민에게 알린다는 방침이다.
2025.08.28
