[더팩트ㅣ이성락 기자] SK텔레콤이 개인정보보호법 위반으로 사상 최대 규모의 과징금을 부과받았다.

개인정보보호위원회(개인정보위)는 지난 27일 제18회 전체회의를 열고 개인정보보호법을 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원을 부과하기로 결정했다고 28일 밝혔다.

이번 과징금은 단일 사업자 기준 역대 최대 규모다. 종전 최고액은 2022년 9월 구글(692억원)과 메타(308억원)에 각각 부과된 총 1000억원이었다.

개인정보위는 지난 4월 22일 SK텔레콤이 비정상적 데이터 외부 전송 사실을 인지하고 유출 내용을 신고함에 따라 조사에 착수했다. 사건의 중대성을 고려해 신고 당일 한국인터넷진흥원과 집중 조사 태스크포스(TF)를 구성해 유출 관련 사실 관계, 개인정보보호법령 위반 여부 등을 중점 조사했다.

조사 결과, SK텔레콤은 △접근 통제 미흡 △접근 권한 관리 소홀 △보안 업데이트 미실시 △유심 인증키를 암호화하지 않고 평문으로 저장 등 정보보호 조치 의무를 다하지 않은 것으로 드러났다.

특히 이용자 2324만4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출된 사실이 확인됐다.

SK텔레콤은 개인정보 유출 사실을 이용자에게 제때 알리지도 않았다는 게 개인정보위의 판단이다. SK텔레콤은 4월 19일 개인정보가 외부로 전송된 사실을 인지했음에도 관련 법령상 기한인 72시간 이내에 유출 사실을 이용자에게 통지하지 않았으며, 이에 따라 사회적 불안과 혼란이 더욱 가중됐다고 봤다.

개인정보위는 재발 방지를 위해 SK텔레콤에 △개인정보보호책임자(CPO) 역할 강화 △회사 전반의 개인정보 처리 업무를 총괄할 수 있는 내부 거버넌스 체계 정비 등을 명령했다.

개인정보위는 유사 사례가 발생하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화할 방침이다. 개인정보 안전관리 체계 강화 방안을 마련해 다음 달 초 발표할 예정이다.

고학수 개인정보위원장은 "이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다"고 말했다.

rocky@tf.co.kr