해킹 사고로 이용자 2300만여명의 개인 정보가 유출된 SK텔레콤(SKT)에 개인정보보호위원회가 역대 최대인 1348억원의 과징금을 부과했다.
개인정보위는 27일 전체회의를 열어 개인정보 보호 법규를 위반한 SKT에 과징금 1347억9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다.
개인정보위에 따르면 지난 4월 해킹 사고로 SKT의 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종 정보가 유출된 것으로 확인됐다.
조사 결과 해커는 2021년 8월 SKT 내부망에 처음 침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성 프로그램을 설치해 추가 거점을 확보했다. 이어 올해 4월 18일 해커는 홈가입자 서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.
개인정보위는 SKT가 기본적인 보안 조치를 제대로 하지 않은 데다 관리도 소홀히 해 이용자 전체 개인정보가 외부로 빠져나간 것으로 결론지었다.
개인정보위에 따르면 SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 SKT 내부 관리망 서버 접근을 제한 없이 허용했다. 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치도 소홀히 했다.
특히 SKT는 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성 프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 막을 기회를 놓쳤다.
시스템 내 서버에 대한 접근권한 관리도 부족했다. SKT는 다수 서버의 계정 정보가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리했다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다.
SKT는 기본적인 보안 업데이트도 하지 않아 유출 사고에 무방비로 노출됐다. 해커가 악성 프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 2016년 10월 보안 경보가 발령됐고, 보안 패치도 공개된 사항이었다.
SKT는 이를 알고서도 같은 해 11월 해당 취약점을 가진 OS를 설치했고, 올해 4월 유출 당시까지 보안 업데이트를 하지 않았다. 2020년부터 각종 상용 백신 프로그램이 관련 취약점의 실행을 탐지하고 있었으나 이를 설치하지 않아 유출 사고를 초래했다.
