개인정보위원회 SKT 강력 제재 개인정보 유출 사건

 

 

SKT 해킹으로 인한 개인정보 유출 사건은 2,500만 가입자의 정보를 위협하며, 개인정보보호위원회는 이번 사안을 역대급 사건으로 규정하고 있습니다. SKT 강력 제재, SKT유심교체, SKT고객센터, 개인정보보호법위반 등의 키워드 중심으로 이 사건의 핵심과 향후 대응을 정리합니다.

 

1. 개인정보보호위원회, SKT 강력 제재 예고

개인정보보호위원회(이하 개인정보위) 고학수 위원장은 SKT 유출 사고를 “디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 중대한 사건”으로 규정하고, 법 위반 사항에 대해 강력히 제재하겠다고 밝혔습니다.

고 위원장은 지난 21일 서울 중구에서 열린 ‘개인정보 정책포럼’에서 약 2,500만 명의 가입 정보를 보유한 SKT에서 발생한 유출 사고의 심각성을 언급하며, 공공·민간의 개인정보 관리 체계 전반을 재정비해야 한다고 강조했습니다. 또한, 이번 사건을 단순한 기술적 사고가 아닌 기업 책임 문제로 바라보고, CPO(개인정보보호책임자)의 조직 내 역할과 책임 강화를 제안했습니다.

항목	내용
사고 발생일	2024년 4월 22일
가입자 수	약 2,500만 명
조치 주체	개인정보위, 민관합동조사단
위반 혐의	개인정보보호법 위반 등
예고 조치	강력한 행정 제재, 형사처벌 가능성

 

 

2. SKT 해킹, 유심 정보 해외 유출 정황

SKT 해킹 사건에서는 유심 정보가 싱가포르 서버로 유출된 흔적이 포착됐습니다. 이는 홈가입자서버(HSS)에서 과금정보관리서버(WCDR)를 거쳐 외부로 전송된 것으로 나타났으며, 일부 정황은 중국계 해커그룹이 사용하는 ‘BPF도어’ 악성코드를 통해 접근한 것으로 알려졌습니다.

고 위원장은 “싱가포르 IP 주소를 누가 통제했는지는 명확하지 않다”며, 국제공조가 필요한 사건임을 강조했습니다. 이는 단순한 국내 보안 문제를 넘어선 사이버 안보 위협으로도 해석될 수 있습니다.

 

주요 해킹 흐름도 

단계	설명
1단계	SKT 홈가입자서버(HSS) 접근
2단계	과금정보관리서버(WCDR) 경유
3단계	싱가포르 소재 IP로 정보 전송
사용된 도구	BPF도어, 파생 악성코드
추정 배후	중국계 해커그룹 가능성

흐름 설명:

• HSS: 가입자 인증 및 위치 정보를 포함한 주요 통신 인프라 데이터 보관소
• WCDR: 트래픽 경유 지점으로, 해커가 여기를 통해 내부 데이터를 외부로 유출
• 싱가포르 서버: 해커가 설치한 원격 제어(C2) 서버 또는 데이터 수신 서버

 

 

eSIM 무료 교체 바로가기 ▶▶

 

 

3. SKT 대응 논란과 개인정보보호법 위반 소지

SK텔레콤은 해킹 사실을 지난달 22일 인지했지만, 개별 고객에게 알린 시점은 무려 17일 뒤인 5월 9일이었습니다. 이와 관련해 개인정보위는 “법이 요구하는 즉각적인 통지 의무를 이행하지 않았다”며 개인정보보호법 위반 소지가 있다고 지적했습니다.

또한 SKT는 피해 고지 문자에서 “유출 가능성을 추후 알리겠다”는 모호한 문구를 사용하여, 실제 피해자들에게 충분한 정보 제공을 하지 않았다는 비판도 받고 있습니다.

고 위원장은 “2차 피해가 발생하지 않았다고 해서 피해가 없다고 말하는 것은 잘못”이라며, 복제폰, 스미싱, 스팸 피해 등 다양한 간접 피해 가능성을 지적했습니다.

구분	SK텔레콤 대응
해킹 인지	2024년 4월 22일
고객 통지일	2024년 5월 9일
고지 방식	문자메시지 (일부 고객만 통지)
문제점	통지 지연, 고지 내용 미흡
법률 위반	개인정보보호법 제34조 위반 가능성

 

 

 

마무리 설명글

SK텔레콤 해킹 사건은 단순한 기술 사고를 넘어, 국민의 개인정보 보호 인식과 기업의 책임 문제를 드러낸 중대한 사안입니다. SKT 강력 제재, 개인정보보호법 위반, 유심 정보 유출 등의 이슈는 장기적으로 디지털 신뢰 구축을 위한 기준이 될 것이며, 기업들의 철저한 보안 체계와 책임 있는 대응이 그 어느 때보다 절실한 시점입니다.