SK텔레콤 vs 개인정보위…1348억 과징금 놓고 ‘이견’

SK텔레콤(SKT)과 개인정보보호위원회(개보위)가 유심 해킹 사태를 두고 정면으로 맞서고 있다. 개보위는 지난 8월 27일 전체회의에서 SKT가 2324만명(중복 제거 기준) 이용자의 휴대전화번호, IMSI, 유심 인증키 등 핵심 정보를 유출한 사실을 확인하고, 역대 최대 규모인 1347억9100만원의 과징금과 960만원의 과태료를 부과했다. 유출 규모는 총 2696만 건, 데이터량은 9.82GB에 달한다.

■ 개보위 “매우 중대한 위반”…과징금 산정 과정은

10일 통신업계에 따르면 해커는 2021년 SKT 내부망에 침투해 서버에 악성코드를 심고, 보안 취약점(DirtyCow) 미보완, 방화벽 설정 미흡, 계정 정보 평문 저장 등 기본적 보안 의무 위반을 틈타 대규모 개인정보를 탈취했다.

SKT는 법이 정한 72시간 내 통지 의무도 지키지 않아, 피해 확산 방지를 소홀히 했다는 비판을 받았다. 고학수 개보위 위원장은 이를 “매우 중대한 위반행위”로 규정했다.

과징금 산정은 개인정보보호법 제64조의2에 근거한다. 이는 전년도 3개년 평균 순매출액의 3% 이내를 상한으로 하되, 위반과 직접 관련 없는 매출액은 기업이 스스로 입증해야 제외된다.

SKT의 전체 매출은 약 17조 9000억 원이었으나, 개보위는 사건과 직접 연관된 LTE·5G 무선 매출 약 10조 원을 기준으로 삼았다.

이후 해킹 규모, 관리 소홀 정도, 유심 인증키(Ki) 평문 저장 등 위반의 심각성을 고려해 ‘매우 중대’로 판정했으며, 감경 요소로 SKT의 보상 대책과 일부 시정 조치를 반영해 최종 금액을 1348억 원으로 확정했다.

■ SKT “형평성 어긋나”…법적 대응 불사

SKT는 곧바로 반발했다. 회사 측은 “구글이 동의 없는 광고 활용으로 692억 원, LG유플러스가 개인정보 유출로 68억 원을 부과받은 사례와 비교해 형평성에 맞지 않는다”고 주장했다. 또한 고객 피해는 아직 확인되지 않았으며, 해킹 직후 △유심 전면 교체 △5000억 원 규모의 보상 프로그램 △보안 투자 확대 등을 시행했다는 점을 강조했다. SKT는 행정심판이나 행정소송 등 법적 대응도 검토 중이다.

■ 기업-정부 ‘자존심 대결’로 비화

이번 사태는 단순한 과징금 부과를 넘어 ‘개보위의 제재 기준 정당성’과 ‘SKT의 대응 적절성’이 맞서는 자존심 대결로 번지고 있다. 개보위는 법에 따른 철저한 조사와 정당한 처분이라는 입장이지만, SKT는 기업 부담을 지나치게 키운 과징금이라며 강경하게 맞서고 있다.

앞으로의 관전 포인트는 세 가지다. 첫째, SKT가 실제로 행정소송에 나설지 여부, 둘째, 법원이 과징금 산정의 정당성을 어떻게 해석할지, 셋째, 이번 사건을 계기로 개보위가 향후 감경 기준과 제도 개선안을 재검토할지 등이다.

업계 한 관계자는 “이번 사건이 단순한 기업 제재를 넘어, 국가 개인정보 보호 체계와 기업 보안 투자 책임 간의 새로운 균형점을 마련하는 분수령이 될 것”이라고 진단했다.