홈
공공수어마당
e브리핑

e브리핑

[개인정보보호위원회]개인정보위 제18회 전체회의 결과(25.08.28.) 관리자 · 2025.08.28 · 24
<고학수 개인정보보호위원회 위원장> 안녕하십니까? 개인정보보호위원회 위원장 고학수입니다. 우리 위원회는 8월 27일 제18회 전체회의를 개최하여 지난 4월 개인정보를 유출한 SK텔레콤에 대해서 안전조치 의무 및 유출 통지 위반으로 과징금 1,347억 9,100만 원 그리고 과태료 960만 원을 부과하였습니다. 우리 위원회는 지난 4월부터 3개월이 넘는 기간 동안 집중조사 T/F를 구성하여 유출 관련 사실관계 그리고 개인정보보호법 위반 여부 등을 중점 조사하였습니다. 조사 결과, SK텔레콤이 다수의 안전조치 의무를 위반하여 2,300만이 넘는 고객 대부분의 주요 디지털 개인정보인 휴대전화번호, 가입자식별번호(IMSI), 유심인증키 이런 정보 등이 유출된 것을 확인하였습니다. 아울러, 유출사고 발생 이후에 정보 주체의 피해 확산 방지를 위한 개인정보 유출 통지를 지연하는 행위가 있었다는 점 그리고 해커가 SK텔레콤 내부망에 침투한 이후에 개인정보를 유출한 경로로 활용된 통신 인프라 영역에 대한 개인정보보호 관리·감독이 매우 허술하게 이루어지고 있었다는 점도 확인하였습니다. 이에 SK텔레콤에 대하여 과징금 및 과태료 부과와 함께 향후 개인정보보호 강화를 위해 개인정보보호책임자(CPO)가 실질적인 역할과 책임을 다할 수 있도록 거버넌스 체계를 정비하는 한편, 재발방지 대책을 수립하여 시행할 것에 대해 시정명령하고, 유출사고가 발생한 이동통신 네트워크와 시스템에 대해서 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득하도록 개선 권고하였습니다. 우리 위원회는 이번 유출사고를 계기로 다음 달 중에 대규모 개인정보처리자의 개인정보보호와 보안 관련 투자 확대를 유도하기 위한 제도 개선사항과 인센티브 체계 개편을 담은 '개인정보 안전관리체계 강화 종합대책'을 마련하여 발표할 예정입니다. 이번 처분을 통해서 대규모 개인정보를 보유하고 처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 생각하는 인식의 전환이 이루어지기를 바라고 있습니다. 아울러, 개인정보보호책임자와 전담조직이 기업 경영에서 차지하는 역할과 중요성을 제고하여 전반적인 개인정보보호 체계가 한 단계 강화될 수 있는 계기가 되기를 바랍니다. <남석 개인정보보호위원회 조사조정국장> 조사조정국장입니다. 배포해 드린 보도자료를 중심으로 해서 상세 브리핑 드리도록 하겠습니다. 대응 경과입니다. 위원회는 4월 22일 SKT 유출 신고에 따라 신고 당일 한국인터넷진흥원과 집중조사 T/F를 구성하여 전담조사에 착수하였습니다. 조사 결과, SKT가 제공하는 이동통신서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE와 5G 서비스 전체 이용자 2,324만여 명의 휴대전화번호, 가입자식별번호, 유심인증키 등 25종의 정보가 유출된 것을 확인하였습니다. 특히 이동통신 이용에 필수적인 가입자식별번호, 유심인증키가 대규모로 유출됨에 따라 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미친 바 있습니다. 유출 경위와 관련해 해커는 2021년 8월경부터 내부망에 최초 침투하여 다수 서버에 악성 프로그램을 설치하였고, 2022년 6월경부터는 추가 거점을 확보하였으며, 금년 4월 18일에 홈가입자서버에 저장된 이용자의 개인정보를 외부로 유출하였습니다. 구체적인 유출 경위는 배포해 드린 자료를 참고해 주시면 될 것 같습니다. 4페이지, 개인정보보호법 위반사항에 대해 중점적으로 보고드리도록 하겠습니다. 이번 사고는 SKT의 기본적인 보안조치 미비와 관리 소홀로 인해 발생한 것으로 확인되었으며, 조사 과정에서 확인된 주요 위반사항은 다음과 같습니다. 먼저, 안전조치 의무 위반 관련하여 접근 통제조치를 소홀히 하였습니다. SKT는 외부인터넷망, 시스템관리망, 코어망, 사내망을 동일한 네트워크로 연결하여 운영하면서 인터넷망에서 내부관리망 서버로의 접근을 제한 없이 허용하는 등 인터넷과 내부망 간 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었습니다. 또한, 침입탐지시스템의 이상행위 로그를 확인하지 않는 등 불법적인 유출 시도에 대한 탐지 대응조치를 소홀히 한 점도 확인되었습니다. 다음, 접근권한 관리 소홀과 관련하여 다수 서버의 계정정보인 아이디와 패스워드를 관리망 서버에 암호 설정 등의 제한 없이 저장·관리하고 있었으며, HSS에서는 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영한 사실을 확인하였습니다. 다음, 보안 업데이트 미조치와 관련하여 상당히 오래전에 그 보안 취약점이 보고되었음에도 2025년 4월 유출 당시까지 보안 업데이트를 실시하지 않은 사실을 확인하였습니다. 아울러, 백신 외에도 이를 대체하는 보안조치를 소홀히 한 사실을 함께 확인하였습니다. 다음 6페이지, 유심인증키 관련입니다. SKT는 가입자 인증과 이동통신서비스 제공에 필수적으로 사용되는 인증정보인 유심인증키를 암호화하지 않고 평문으로 저장한 사실을 확인하였습니다. 특히 타 통신사 등이 이미 암호화하여 저장하고 있음을 확인하고 암호화 조치를 검토하였으나 이를 조치하지 않아 유출 피해를 예방하지 못한 사실을 확인하였습니다. 다음, 개인정보보호책임자(CPO)의 지정 및 업무 수행과 관련하여 이번 유출사고가 발생한 인프라 영역에 대하여 CPO가 개인정보처리 실태조차 파악하지 못하는 등 CPO에 의한 관리·감독이 사실상 이루어지지 않은 것을 확인하였습니다. 다음, 개인정보 유출 통지와 관련하여, 정보 주체에게 개별 유출 통지를 실시하지 않고 있어 위원회는 5월 2일 즉시 유출 통지를 진행할 것을 긴급 의결한 바 있으나 SKT 측은 5월 9일에 유출 가능성에 대해 통지를 실시하고 7월 28일 유출 확정 통지를 실시한 바 있습니다. 이번 처분에 앞서 개인정보보호위원회는 조사 결과 및 처분 방향에 대해 위원들 간 충분한 논의 및 의견 수렴을 위해 총 네 차례의 사전 검토회의를 거쳤고 전체회의 과정에서도 사업자가 출석하여 의견 개진 및 질의응답 등을 거친 후 최종처분안을 확정하였습니다. 이번 조사 처분은 단순히 특정 기업에 대한 제재를 넘어 우리 사회 전반에 개인정보보호의 중요성을 다시 한번 환기시키는 계기가 될 것으로 판단하고 있습니다. 기타 저희가 이번 유출사건에 대해서 제재·처분을 심의·의결하는 과정에서 논의되었던 주요 쟁점별 검토사항에 대해서는 붙임으로 참고해 드렸으니 참고해 주시면 될 것 같습니다. 이상 브리핑 마치도록 하겠습니다. [질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다. <질문> 안녕하세요? 질문 몇 가지 드리겠습니다. 과징금 규모를 어떻게 산정했는지에 대해서 구체적으로 말씀해 주시면 좋겠는데요. 원칙적으로 3,000억대까지 나올 수 있다고 하는 시각도 있었고 또 다른 한쪽에서는 유플러스나 구글 과징금 사례를 들면서 과도하다고 말하기도 하는데요. 이렇게 과징금을 매기게 된 경위나 배경 등을 구체적으로 설명해 주시면 감사하겠고요. 두 번째에서는 개인정보위가 그동안 CPO 역할 강화에 대해서 많은 노력을 하고 있었던 걸로 알고 있는데, SK텔레콤 CPO 역할에 대해서도 조사를 하신 듯해요. CPO가 CISO까지 겸임을 하고 있었던 걸로 알고 있는데 사실상 SK텔레콤 정보보호 보안을 총괄하는 자리였거든요. 그런데 이렇게 반쪽짜리 역할만 할 수 있었던, 하게 된 이유가 무엇인지 궁금하고, 그렇다면 통신 인프라 쪽에서는 보안을 과연 누가 책임지고 어떻게 관리하고 있었던 건지도 함께 말씀해 주시면 감사하겠고요. 사실 이런 상황은 통신3사 다 비슷하다고 알고 있고 그나마 유플러스가 개인정보 유출 이후 조금 나아진 부분이 있었던 걸로 알고 있는데 관련해서 반쪽짜리 CPO가 더 이상 이제 나타나지 않게 하기 위해서 개인정보위가 제도 개선이라든지 어떤 역할을 할 것인지에 대해서 같이 말씀해 주시면 감사하겠습니다. 그리고 SK텔레콤이 어제 전체회의에 출석해서 어떤 의견들을 개진했는지도 주요 내용만 말씀해 주시면 감사하겠습니다. <답변> (고학수 위원장) 첫 번째로, 과징금 산정 관련해서는 과징금, 우리 쪽 출입하는 기자분들은 잘 아시겠습니다만 전체 매출액에서부터 출발이 되고요. 회사의 전체 매출액에서 관련 매출액, 관련 없는 매출액을 제외한 후에 그리고 우리 법 관련된 고시, 과징금 고시에 구체적인 기준들이 있습니다. 기준금액이라고 하는 걸 정하게 되고요. 그래서 기준금액을 정한 다음에는 중대성 판단이라는 것을 하게 되고 또 중대성 판단을 한 뒤에 1차 가중감경, 2차 가중감경, 최종 과징금 액수의 결정 이렇게 단계적으로 다 진행이 되게 돼 있고, 그 각각의 단계에서 어떤 요소가 어떤 식으로 반영돼야 하는지는 고시에 다 규정이 있습니다. 그래서 출발점에서는 예를 들면 SK텔레콤 연결재무제표상의 매출액은 연간 17억... 17조 정도 되는데 그중에 이 회사 통신과 관련된 매출액 산정을 하고 그중에서 예컨대 개인고객, 또 이번 건은 LTE하고 5G 네트워크하고 관련이 있습니다. 그래서 그런 부분들 고려를 하고, 다른 한편, 개인고객이 아닌 법인고객이라든가 이런 부분들 관련된 매출액은 제하고 이런 식의 과정들을 쭉 거치면서 기준금액을 정하게 되고요. 또 중대성의 경우는 '매우 중대함' 이렇게 결정이 됐고요, 위원회 회의 통해서. 그리고 1차 조정에서는 예를 들면 위반 기간이 3년 넘는 기간이었기 때문에, 이 고시에 아주 기계적인 규정이 있습니다. 2년 넘으면 그 기간에 대해서 가중하게 돼 있고 다른 한편, 직접적인, 경제적인 이득을 취하지 않은 부분에 대해서는 또 감경을 하게 돼 있고, 또 2차 가중감경에 있어서는 예컨대 회사가 시정조치를 어떤 식으로 취했는지 또 피해 보상을 위해서 어떤 노력을 했는지 이런 것들을 고려하게 돼 있어서 그런 부분들이 고려돼서 감경이 되고, 그런 단계를 거쳐서 최종액수가 정해졌습니다. 그리고 두 번째, CPO 역할 관련해서는 이 사건이 발생한 이후에 회사가 CPO, CISO, 다 새로 영입을 했고 아니면 새로, 그 자리에 새로운 분을 모시는 그런 과정을 진행했고 그 과정에서 회사 내부 조직 개편을 일부 했습니다. 그런데 그 조직 개편을 일부 했지만 완결된 것이 아니고 어제 회사 쪽에서 와서 설명한 것을 보면 지금 지속적인 고민을 하고 있는 중이고 회사의 고민은 결국은 유사 문제가 다시 생기지 않도록 하는 것이 당연히 회사 쪽의 고민이 되겠고요. 기자분 질문하신 것과 같이 SK텔레콤의 경우에 우리가 조사 과정에서 파악한 문제 중의 하나가 IT 전반을 다루는 부서와 인프라, 네트워크 인프라를 다루는 부서 사이의 역할 부분이 실질적으로 좀 있었고, 회사 내부 어떤 역할상 CPO가 네트워크 인프라를 볼 수도 있지만 현실에서는 굉장히 제한적으로만 보는 그런 업무 관행이 만들어졌던 것 같고, 그래서 그에 대해서 어떤 식으로 뭐랄까, 효과성 있게 효율적으로 전반, 회사 네트워크 전반을 볼 수 있는 체계를 만들 것인가에 관해서는 회사에서 계속 고민을 하고 앞으로도 저희 위원회하고 소통을 하면서 조금 더 뭐랄까, 효과성이 있게 내부 거버넌스 체계를 마련할지에 대해서는 계속 만들어 가는 과정이라고 보시면 될 것 같습니다. 그리고 세 번째, 어제 출석을 해서 회사 쪽에서 굉장히 상세한 설명을 했습니다. 아주 구체적인 저희가 지적한 문제에 대한 설명도 하고 큰 틀에서 앞으로 어떻게 개선해 갈지에 관한 설명도 했었습니다. 그 전반적인 과정에서 사실은 지난 몇 달을 거치는 전체 과정을 보면 회사가, 저희 위원회 쪽 T/F가 현장조사는 7월 20일경 마무리가 됐고요. 현장조사 마무리된 이후에 회사 쪽 실무자들하고 여러 가지 소통하고 회사 쪽의 설명이나 소명도 듣고 이런 과정들이 쭉 있었는데, 어제까지 그 이전, 어제 이전까지는 회사가 굉장히 적극적으로 회사 입장을 소명하고 또 회사가 문제 상황이 발생하긴 했지만 사실은 회사가 할 수 있는, 상식적인 또는 합리적인 선에서 할 수 있는 최선은 다한 것이다, 라고 하는 매우매우 적극적인 소명을 하고 법적인 절차의 관점에서도 매우 적극적인 대응을 했었는데, 어제 와서 회사 쪽 설명은 약간은 달라졌습니다. 그러니까 그전까지는 회사가 '합리적인 선에서 할 수 있는 건 다 했다.' 이런 것이었는데 어제는 와서 '사실은 문제가 좀 있었고 그에 대해서 굉장히 뭔가 아쉽기도 하고 죄송스럽게 생각한다. 또 앞으로 훨씬 더 적극적으로 위원회하고 소통하면서 문제가 안 생기도록 노력을 훨씬 더 열심히 하겠다.'라는 취지의 설명을 다각도로 했습니다. 그리고 그에 대해서 위원님들이 여러 가지 궁금해하시는 점 질문하고. 그래서 회사 쪽의 설명을 듣고 질의응답 하는 시간이 여타 사건에 비해서 훨씬 긴 시간을 할애해서 진행했었습니다. <질문> 안녕하세요? 방금 위원장님께서 과징금 기준 잡을 때 회사 매출 기반으로 기준금액 정한 다음에 중대성 판단을 이후로 하셨다고 했는데 구체적인 기준금액을 혹시 공유해 주실 수 있는지가 첫 번째 질문이고요. 두 번째는 이게 심의가 빨리 안 끝나면 추가 전체회의 잡힐 수도 있다는 전망도 있었는데 그렇게 보면 위원들 간에 제재 수위에 큰 이견이 없었던 건지, 일부에서는 좀 이른 결론을 낸 것 아니냐는 지적도 있는데 여기에 대해서는 혹시 어떻게 생각하시는지 말씀 부탁드리겠습니다. <답변> (고학수 위원장) 기준금액, 중대성 이런 것들 다 말씀드린 대로 단계, 단계 거치면서 정하게 되어 있는데 그 뭐랄까, 그 각각의 단계에 대해서 구체적인 액수가 얼마였는지 이런 것을 저희가 설명드리기는 곤란할 것 같고요. 다만, 기준... 기본적으로는 기준금액을 정한 것은 아까 개략적으로 말씀드린 것과 같이 회사의 연결재무제표상 과거 3년간, 2022년, 2023년, 2024년 3년간 전체 매출을 일단 잡고 그중에서 SK텔레콤 매출을 빼내고 SK텔레콤에서 예를 들면 3G라든가 이런 것들은 또 빼냅니다. 그리고 또 아까 말씀드린 대로 개인고객에 관련되지 않은 부분들, 법인 관련이라든가 또는 다른 회사와의 어떤 정산이라든가 그런 부분들을 빼냅니다. 그래서 그런 걸 빼내는 작업을 한 후에 남는 액수, 그게 기준금액이 된다, 그 정도 말씀을 드리겠고요. 어제 회의는 사실은 저희 위원님들하고 같이 상황에 관한 이해도도 높이고 또 서로 의견 조율하고 이런 과정들이 당연히 있었고, 근데 그게 어제 회의뿐 아니라 어제 회의 이전에 위원분들 사이의 간담회를 네 차례를 했습니다. 그래서 사실은 하나의 개별 건을 가지고 간담회를 네 번씩 한 경우는 제가 위원장 하는 동안에는 그 정도로 많이 한 것은 처음이었고요. 그리고 어제 회의도 사실 저녁까지 이어지면서 식사 시간을 넘기면서 그냥 회의 진행하면서 김밥을 먹으면서 계속해서 논의를 하는 과정이 있었고요. 그리고 그런 논의 과정이라고 하는 게 결국은 위원님들 사이에 여러 가지 의견들 서로 얘기하고 의사 교환하고 조율하고 이런 과정이라고 말씀을 드리겠고요. 그리고 너무 당연한 거지만 위원님들 사이에 의견이 처음부터 이렇게 일치되지는 않았고, 오히려 그러면 이상한 거겠죠. 다양한 의견들이 있었고 그 다양한 의견들을 서로 또 주고받고 논의하고 하면서 결국은 컨센서스를 이루어냈습니다. 그래서 예를 들면 누가 투표를 하고 이런 식으로 의사결정을 하지는 않았고 계속 논의를 하면서 결론을 만들어 내는 그런 과정이었다고 이해를 해주시면 되겠습니다. <질문> 안녕하세요? 다른 건 아니고 어제 SKT가 전체회의에서 의견 개진하면서 사과하고 잘못했다고 했지만 그럼에도 불구하고 어쨌든 이 액수가 적은 액수는 아니다 보니 SKT 측에서 행정소송에 나설 것으로 아무래도 예상이 됩니다. 그 관련돼서 개인정보위원회의 입장 부탁드리겠습니다. <답변> (고학수 위원장) 회사가 추후에 소송을 할지 여부는 제가 지금 이 자리에서 뭐랄까, 예단해서 얘기할 상황은 아닌 것 같고요. 다만, 제가 말씀드릴 수 있는 것은 이렇게 조사하고 처분하는 그 과정에서 저희가 T/F를 꾸려서 진행했는데 사실은 저희 조직 규모로 볼 때 T/F에 투입된 인력은 사실 이례적으로 많은 인력이 투입이 됐고, 조사 전문가뿐 아니라 법률 전문가, 회계 전문가가 투입돼서 조사 전체 절차가 진행됐다, 그리고 그런 관점에서 위원회가 할 수 있는 역량을 최대한 발휘해서 꼼꼼하게 진행했다, 이런 말씀드리겠습니다. <질문> 지난 5월에 위원장님께서 '이번 유출사고 관련 데이터가 싱가포르로 유출된 정황이 확인됐다.'라고 하셨는데 관련해서 국제 공조와 조사가 어떤 식으로 이루어지고 있는지 상황 설명 부탁드리고요. 그리고 여기 보도자료 맨 마지막 페이지에 보면 '2024년 12월부터 2025년 4월까지 외부로 유출된 정황이 없고 그 이전 기간에 대해서는 유출 여부를 확인할 수 없다.'라고 되어 있는데 이것 관련해서도 설명 부탁드립니다. <답변> (고학수 위원장) 외국으로 데이터가 나간 부분은 사실은 싱가포르 거쳐서 그다음에 어디로 갔는지는 파악해야 되는데 그 부분은 사실 저희 위원회가 직접 관여하는 부분은 아니고, 아마 수사당국에서 그에 대해서 후속 조사·수사를 하고 있는 것으로 알고 있습니다. 그래서 그 부분은 저희가 구체적으로 말씀드릴 수 있는 부분은 딱히 없을 것 같고요. 지금 아마 두 번째로 질문하신 부분은 ICAS 서버 관련인 것 같은데 실제로 데이터의 어떤 취약점, 그래서 외부망하고 연결될 수 있는 부분은 HSS 서버하고 ICAS 서버하고 두 서버가 외부하고 연결이 되어 있었던, 그런 취약점이 있었던 서버인데 HSS 서버에서 정보가 유출된 부분에 대해서는 저희가 굉장히 명확하게 상황 판단을 할 수... 파악을 할 수가 있었는데 ICAS 서버에서 나간 정보는 이미 3년 넘는 기간 동안 취약한 상태에 노출되어 있기는 했는데 방화벽 로그가 4개월 치 로그만 남아 있는 상황이었습니다. 그래서 올 초부터 4월 사건이 일어난 그 무렵까지는 방화벽 로그를 통해서 데이터가 ICAS 서버를 통해서는 유출되지 않았다는 것을 확인했는데, 다른 한편 올 1월 이전 그리고 취약점이 노... 취약한 상태로 노출되어 있었던 2022년 6월인가요? 그때부터 2년 넘는 기간 동안에는 유출이 되었는지 아닌지 자체를 확인할 수가 없었습니다. 그래서 그 부분은 확인 불가 그렇게, 그런 상태라고 보시면 되겠습니다. <질문> 물론 회사의 매출 규모도 반영이 됐겠지만 그간 개인정보위가 처분한 과징금 중에서는 가장 큰 규모로 나왔는데요. 어제 위원들께서는 어떤 부분이 굉장히 중대하고 국민들에게 피해를 가장 많이 입혔다, 이렇게 판단하셨는지 궁금하고요. 그리고 지금 말씀 주셨던 개인정보 안전체계 관리방안, 종합책, 대책 어떤 내용이 담기는지도 궁금합니다. 그리고 아울러서 분쟁조정위 개시가 그럼 이제 시작되는 건지, 그리고 추가 참가자 모집도 가능한 건지 궁금합니다. <답변> (고학수 위원장) 회사가 개인정보보호 관련해서 어떤 허술한 점이 있었는지에 관해서는 위원님들마다 보는 관점이 조금씩은 달랐지만 총체적으로 보면 회사가 꽤 오랜 기간을 두고 전반적으로 허술한 상태를 유지하고 있었다는 그런 총체적으로 굉장히 취약한 상태에 놓여 있고 그런 것을 회사가 꽤 긴 기간을 두고 충분... 이렇게 알 수 있는데, 조치를 할 수 있는 그런 상황들이 중간, 중간에 그런 계기들이 있었는데 그걸 놓쳐, 계속적으로 놓친, 꽤 기간, 긴 기간 동안. 이런 것들이 뭐랄까, 위원님들 전반적으로 답답함을 느낀 부분이 있고요. 다른 한편, 다들 아시다시피 우리 1위 통신사이고 우리 국민 대략 절반 되는 이용자를 갖고 있는 이런 통신사이고, 또한 결국 유심정보라고 하는 게 지금 우리가 일상생활을 함에 있어서 뭐랄까, 개개인 입장에서 사회화 아니면 다른 사람들과 소통하고 하는 데 있어서 핸드폰이 결국은 결정적인 어떤 창구가 되는데, 그럼 핸드폰이 그 창구가 되는 기계적인 또는 엔지니어링적인 관점에서의 아주 궁극적인 출발점은 결국은 유심정보인 것 같은데, 임시 IMSI 정보 그런 정보가, 그런 점에선 매우매우 중대한 성격을 가진 정보가 유출됐는데 그 회사가 관리를 잘 못 했다, 라고 하는 것에 관한 문제의식을 아마 대부분 위원님들이 가지셨던 것 같고요. 조만간 발표될 정책 방안은 저희가 이번 건을 계기로, 그전에도 일부 문제의식을 갖고 있던 부분들이 있긴 한데 가장 핵심은 이겁니다. 기업 현장 또는 기관, 공공기관 다 마찬가지인데 현장에 있는 분들이 뭐랄까, 굉장히 수동적이고 기계적으로 우리 위원회 법률, 고시 또는 지침해설서 이런 데 있던 것들을 최소한의 것만 하게 되고 그러면 모든 게 해결된 것처럼 생각하는 그런 관행과 문화를 어떤 식으로건 깨뜨리면 좋겠다, 라는 것이고요. 그 관행을 깨뜨린다는 거는 거꾸로 뒤집어서 얘기하면 어떻게든 조금 더 실제 현장에서 합리적인 선에서 할 수 있는 최선의 노력을 다하도록 하고, 또 예를 들면 법이나 고시에 있는 것은 최소한의 것이고 그것보다 조금이라도 더 필요한 것들을 현장에서 느끼면 최대한 그걸 할 수 있는 그런 구조, 분위기를 만들고, 또 인센티브를 제공해서 최소한의 것을 넘어서 뭔가 추가적으로 할 수 있으면 하면 좋겠다, 그리고 만약에 그런 추가적인 것을 할 경우에는 우리 위원회가 인센티브를 제공해서 현장에서 추가로 할 수 있는 그런 분위기를 조성하도록 하고, 또 다른 한편, 개인정보 관련된 현장에 있는 분들이 충분한 어떤 역할과 전문성과 또 자기 개개인 입장에서의, 직업상의 커리어 경로 이런 것도 만들어 낼 수 있는 그런 분위기를 유도하고자 합니다. 지금까지는 흔히 개인정보 업무를 하는 분들이 뭐랄까, 조직 안에서 되게 큰 역할을 부여받지 못하는 경우도 많고, 경우에 따라서는 오히려 문제 상황에서 책임만 떠맡는 이런 경우도 꽤 많았었는데요. 오히려 당연히 책임이 더, 오히려 앞으로 더 늘어나야 되겠지만 그 책임에 걸맞은 조직 안에서의 권한도 부여받고 조직이나 예산 이런 것도 확보할 수 있는 그런 방향으로 준비를 하고 있고 외부분들하고 소통을 일부 하면서 정리하고 있고 조만간 그 방안은 확정해서 발표할 예정입니다. 그리고 조정 관련해서 말씀을 주셨는데 지금 조정 이미 들어온 것들이 있는데 처분할 때까지는 일단 후속 절차는 정지되어 있는 상태입니다. 개개인이 조정 신청을 하는 것들이 흔히 있는데 지금 이번 건은 워낙 많은 분들이 비슷한 피해를 입었기 때문에 집단분쟁조정도 신청이 돼 있고요. 그래서 집단분쟁조정은 3개의 건이 들어와서 집단분쟁조정을 신청하신 이용자분들은 2,000명 정도가 되고 그거와 별개로 개개인이 신청한 건이 현재까지는 600건 넘는 개개인 신청자가 있습니다. 그리고 앞으로도 신청은 열려 있기 때문에 신청자가 더 늘어날 가능성은 있고요. 처분이 내려졌기 때문에 지금 절차가 멈춰져 있는, 정지된 절차는 다시 재개해서 분쟁조정 절차에 맞춰서 재개될 그런 상황입니다. <질문> 안녕하세요? 통상적인 사건에 비해서 이번이 만 4개월 정도 조사 기간 거치신 걸로 아는데 내부적으로는 어떻게 평가하고 계시는지 한 번 더 여쭤보고요. 그리고 2022년 구글 과징금 내리실 때에는 사실관계 확인과 판단 범위가 광범위해서 시간이 오래 걸리셨다고 하셨었는데 이번 사건에는 그럼 어떻게 보면 인과관계 판단이 조금 수월하셨던 건지 궁금하고요. 그리고 과징금 부과하실 때 중대성 판단이 크게 상·중·하로 판단하시는 걸로 아는데 어쨌든 과중하다고 보시고 상으로 결정하신 건지도 궁금합니다. <답변> (고학수 위원장) 이번 건의 경우에는 4월 22일인가 유출신고가 들어오고 거의 곧바로 저희가 T/F를 꾸려서 조사 진행을 했습니다. 저희가 실무자들이 '맨아워'라는 표현을 쓰죠, 사람 숫자하고 각각 시간을 어느 정도 투입했는지. 이런 거를 정확하게 산출할 수는 없지만 개략적인 산출을 한번 해본 적이 있는데 그렇게 맨아워를 산출해 보니까 저희가 흔히 다른 건에 투여하는 경우에 비해서 맨아워가 비교할 수 없을 정도의 많은 맨아워가 투입이 됐었고요. 현장조사는 7월 23일인가 22일경 종료가 됐습니다. 그래서 그런 관점에서는 실제, 그러니까 저희가 현장에 아예 조사관이 몇 달 동안 상주를 한 거예요. 그래서 회사 내부에 어떤 상황이었는지, 어떤 구체적인 문제가 있었는지 파악하는 과정이 있었고, 그래서 그런 관점에서 저희가 조사 인력을 굉장히 우리 위원회 구조나 인력 규모를 고려할 때 굉장히 많이 투입했고 실제 현장에 상주하면서 또 조사하고 그래서 실제로 무슨 일이 있었는지에 관한 사실 파악이 상대적으로 빠른 속도로 빠르게 파악이 되고 정리하는 게 가능했던 점이 있었고요. 그리고 아주 넓게 우리 위원회 내부적으로는 침해사고, 유출사고 이렇게 크게 구분해서 업무를 처리합니다. 근데 이건, 이런 건은 유출사고의 카테고리에 들어가는데요. 그러니까 해커가 들어가서 정보를 빼간 이런 건데, 해커가 들어가서 정보를 빼간 유형의 사안은 일반적으로 사건이 발생한 지 얼마 안 된 경우에는 회사 로그기록 같은 것, 접근한 기록들, 네트워크 상황이 어땠는지, 예를 들면 그런 것에 관한 정보가 상대적으로 많이 있기 때문에 빨리 조사하면 할수록 상황 파악이 수월한 점이 있습니다. 근데 만약에 5년, 10년, 기간이 오래 지나고 나면 로그기록 같은 것들이 다 사라지고 하면 어떤 일이 있었는지 파악하는 것이 당연히 훨씬 어려워지고요. 근데 다른 한편 유출사고가 아니라 침해사고, 아까 질문하신 구글, 메타 이런 유형의 건들은 우리가 위원회 내부적으로는 침해사고라고 부르는 겁니다. 그러니까 무슨 외부에서 해커나 누군가가 불법적으로 침입해서 정보를 빼간, 도둑질하듯이 빼간 이런 종류의 사안이 아닌 거죠. 침해사고의 경우는 개별 건에 따라 굉장히 다른 종류의 판단과 분석이 필요합니다. 그래서 구글, 메타 건의 경우는 이 사건의 본질을 어떻게 볼 것인지에 관해서 내부적으로 분석하고 정리하고 논의하고 하는 과정이 훨씬 더 오래 걸린 그런 면이 있고요. 그래서 그런 점에서 굉장히 다른 종류의 사안, 그러니까 내부, 실무적인 차원에서는 굉장히 다른 종류의 사안이고 말씀드린 대로 유출사고와 관련된 사안은 즉각적으로 상황 파악을 하는 게 가능한 경우에는 상대적으로 빠른 시일 내에 분석과 정리가 이루어질 수 있다, 이런 말씀드리고요. 중대성 관련해서는 저희 관련 고시에 네 가지 카테고리가 명시되어 있습니다. 네 가지 카테고리를 고려해서 중대성 판단을 하게 되어 있는데, 이 건의 경우는 '매우 중대함'으로 결론적으로 결론이 내려졌는데 매우 중대하다고 본 거죠. 이 유출된 정보의 본질, 성격도 되게 중대하고 또 굉장히 2,300만이 넘는 이용자의 정보가 유출된 것도 굉장히 중대하고, 다른 한편, 회사가 지난 몇 년에 걸쳐서 취약한 상태에 노출되어 있었다, 라고 하는, 그래서 어떤 점에서 취약했는지 하는 것들이 한두 가지 포인트가... 이거 하나가 취약해서 문제가 생겼다가 아니라 굉장히 광범위하게 여러 가지 종류의 취약점들이 있었습니다. 그래서 우리 고시 기준으로는 고시의 여러 가지 항목들을, 하나의 항목을 위반한 게 아니라 고시의 여러 가지 항목을 위반했었습니다. 그래서 그런 것들이 같이 고려가 돼서 중대성 판단에 있어서 매우 중대함 이렇게 결론이 내려졌습니다. <질문> 그 유출된 정보가 개인정보인지 판단하는 게 쟁점이 됐을 것 같은데요. 유출된 25종 모두 개인정보로 판단했는지 궁금하고요. 또 개인정보로 판단한 근거 역시 말씀해 주시면 감사하겠습니다. <답변> (고학수 위원장) 저희는 신고, 유출신고가 들어왔을 때부터 너무 당연히 개인정보라고 생각을 했고요. 그러니까 개인정보 여부를 판단함에 있어서, 예를 들면 25종 정보가 있었는데 25종 정보를 열거한 다음에 1번은 개인정보, 2번은 개인정보 아니고 3번은 개인정보 이런 식으로 판단하지 않습니다. 그러니까 유출된 정보를 전체적으로 개인정보 이렇게 보는 거죠. 그래서 이 중에 예컨대 1번부터 10번은 개인정보지만 11번부터 나머지는 아니다, 이런 식으로 판단하지 않는 거고요. 아까 말씀드린 것과 같이 지금 우리가 일상생활을 함에 있어서 핸드폰, 스마트폰 그거 없이, 아마 모든 분들이 24시간 잘 때 바로 옆에 두고, 예컨대 화장실 갈 때도 들고 가고 24시간 옆에 두고 있는 것이 핸드폰인데 그 핸드폰은 개개인과 떼려야 뗄 수 없는 상황이잖아요, 우리 일상에 있어서요. 다른 한편, 그 핸드폰이 나와 타인, 다른 사람들과 소통하는 매개를 통신사가 하는 것이고, 그 통신사가 그 매개의 역할을 함에 있어서는 유심정보가 결국은 가장 핵심이 되는 거고, 그런 관점에서 지금 시대에 있어서 개인이 외부와 소통함에 있어서 가장 핵심적인 정보라고 할 만한 정보가 유출됐기 때문에 너무 당연히 개인정보라고 저희는 판단을 하면서 그에 대해서는 내부적으로 의심을 해본 적이 전혀 없고요. 다른 한편, 회사가 유출 통지할 때 뒤늦게 7월 말에 했는데 거기에 '개인정보 이런 게 유출됐습니다.'라고 고객분들한테 통지를 그렇게 했고, 그리고 회사가 아까 말씀드린 대로 굉장히 여러 가지 측면에서 하나하나 법적인 어떤 소명을 열심히 했는데 다른 한편, '이게 개인정보 아닌 것 같은데요?' 하는 식의 어떤 항변, 소명은 회사가 하지 않았습니다. <질문> 질문 기회 주셔서 감사합니다. 아까 소명할 때 거기에 대해서 개인정보 여부에 대해서 소명을 그렇게 하지 않았다고 했는데 IMEI 같은 경우에는 유출되더라도 스마트폰 복제 우려가 적다, 라고 했는데 이게 과징금 산정, 여기 감경에 영향을 미쳤는지 궁금하고요. 그리고 ISMS-P 인증 범위를 확대하도록 개선 권고했는데 이거에 대해서 ISMS-P 의무화에 대해서는 어디까지 논의가 나오고 있는지 궁금합니다. <답변> (고학수 위원장) IMEI, IMSI 말고 IMEI요? <질문> 네. <답변> (고학수 위원장) IMEI는 지금 HSS 서버를 통해 유출된 걸 보면 IMEI는 없고요. ICAS 서버에는 IMEI가 있었습니다. 그런데 IMSI 정보와 IMEI 정보를 굳이 비교하자면 IMSI 정보는 개인, 뭐랄까요, 개개인에 할당되는 그런 점에서 조금 더 개인과의 연관성이 훨씬 더 높은 정보이고요. IMEI는 기기에 할당되는 정보입니다. 그래서 그런 점에서 뭐랄까, 기술적인 차이점이 좀 있고, IMSI 정보에 대해서 따로, 어제 회의하면서 따로 논의를 하거나 하지는 않았었고요. 그리고 ISMS-P 관련해서는 저희가 회사가, 기존에 IMSI... ISMS-P 인증을 받은 것은 T world 부분에 한정해서 받았었습니다. 그러니까 회사가 당연히 회사 네트워크가 크고 DB도 굉장히 다양한 것들이 있기 때문에 시스템 전체를 받은 게 아니라 그중에 T world 관련된 부분만 P 인증을 받았었고 나머지 부분은 인증을 받지를 않았습니다. 회사는 앞으로 나머지 부분도 P 인증을 받는 방향으로 고려하고 있다, 그런 것은 회사 스스로 얘기를 한 것이고요. 저희가 P 인증을 무슨 의무화한다거나 아니면 의무 대상을 더 넓힌다거나 이런 식의 고민을 지금 하고 있진 않습니다. 그리고 그거보다는 이 ISMS-P 인증 포함해서 인증제도 전반의 실효성을 어떤 식으로 높일 것인지 그런 고민을 하고 있다, 그래서 아까 말씀드린 것과 같이 정책의 큰 방향은 현장에 있는 분들이 훨씬 더 책임감과 소명의식을 가질 수 있고 다른 한편, 실제 현장에서 체감하는 어떤 리스크 요소들을 어떤 식으로 전향적으로 고려하면서 반영할 수 있을지, 그래서 인센티브를 어떤 식으로 잘 부여할지 지금 그런 틀에서 바라보고 있다, 이렇게 말씀드리겠습니다. <질문> (온라인 질의 대독) 죄송합니다. 지금 사전에 들어와 있는 질문들이 있기 때문에 그걸 먼저 처리하도록 하겠습니다. 서면으로 지금 물어봐 주신 질문 중에 과징금 규모 산정 기준, 그다음에 어제 SK텔레콤 관계자 입장에 대한 질문들이 있었는데 이건 아까 대답이 된 것으로 보고 넘어가도록 하겠습니다. 이데일리 기자님께서 4개의 질문을 주셨는데요. 한번 제가 대신해서 읽어보도록 하겠습니다. 첫 번째, '유심 복제에 대해 사회적 우려가 컸다고 자료에 나와 있는데 과기정통부 차관은 지난 브리핑에서 복제폰은 어렵다고 했다. 과기정통부와 달리 개보위는 유심 복제가 된다, 라고 판단한 것인가?' 하는 질문이 첫 번째고요. 두 번째는 '개인정보로 상업적 이득을 취한 경우와 아닌 경우는 과징금 기준이 달라야 한다는 의견도 나오는데 앞으로도 다른 기업들이 해킹을 당했을 때 같은 수준의 처벌을 할 예정인가?' 세 번째 질문입니다. '전체회의에 재적위원 아홉 분 중 7명이 참석했는데 성원은 몇 명이 되면 가능한지, 2명이 참석 안 한 이유를 알 수 있을지?' 하는 질문이 있고요. 네 번째 질문은 '기준 금액에서 통신과 관련한 매출액을 산정했다고 했는데 음성과 데이터 매출 중 데이터만 포함했다는 말씀이신지?' 하는 4개의 질문입니다. <답변> (고학수 위원장) 질문이 여러 개라서 다 기억을 할지 모르겠는데 일단 첫 번째, 유심 복제 이런 맥락의 질문은 실제로 해보신 분들 아시겠습니다만 유심 카드를 공기계, 다른 공기계에 옮겨서 이용하는 것이 흔히 가능합니다. 그런데 '흔히 가능하다.'라고 제가 약간 애매하게 말씀을 드린 이유가 과거에는 일반적으로 가능했었고요. 지금은 SKT의 경우는 거의 불가능합니다. 거의 불가능하게 된 이유는 유심보호서비스를 가입자들한테 다 적용하게 된 그게 제일 큰 이유가 되고요. 다들 아시다시피 유심보호서비스는 이 사고가 난 이후에 적용이, 그전에는 일부 원하는 분들한테만 적용이 됐다가 그 이후에 전체적으로 적용이 됐고요. 유심보호서비스는 기술적인 내용이긴 하지만 IMEI와 IMSI 정보 두 가지 정보를 같이 맞춰서 확인하는 그런 방식이 됩니다. 그리고 추가적으로 회사가 FDS라고 하는 Fraud Detection, 금융 영역에서 주로 쓰던 것인데 이상탐지 이런 기술을 마련해서 적용을 하고 과거에 비해서 또 이 FDS 기술을 더 고도화하는 그런 과정을 거치고 있습니다. 그래서 그런, 넓게 보면 두 가지, 유심보호서비스를 통해서 IMEI의 정보를 추가적으로 확인하는 부분, 또 FDS를 통해서 이상 접속을 확인하는 부분 이런 것들이 아주 완벽하게 작동이 되면 유심 복제는 불가능합니다. 다른 한편, 이게 완벽하게 작동을 하지 않으면 유심 보호가 생길 수도 있습니다. 그래서 올 사고가 나기 이전 같으면 유심 복제가 발생할 수 있는 가능성이 조금 더 폭넓게 열려 있었다고 볼 수 있을 거고요. 지금 현시점, 말씀드린 대로 FDS가 상당히 고도화되고 유심보호서비스가 제대로 작동하는 상황이라면 유심 복제는 거의 불가능한 그런 상황이라고 말씀드릴 수 있을 것 같습니다. 그리고 두 번째는 '과징금 산정 관련해서 다른 사건에도 똑같이 적용이 될 것이냐?'라는 질문인데 사실은 그 모든 사건이 다 독특한 특징들이 있습니다. 그러니까 저희가 당연히 법과 원칙에 따라서 일관성 있게 법을 적용하고 원칙대로 적용을 하는 건 너무 당연하지만 다른 한편 구체적인 개별 사안에 있어서 개별 사건의 특수성도 당연히 고려가 돼야 되기 때문에 저희가 그거를 일관성 있게 하고 동시에 특수성을 또 고려한다, 이런 말씀을 드릴 수밖에 없고요. 우리 위원회가 판단하는 것은 고시에 상당히 구체적인 기준들이 있기 때문에 고시를 꼼꼼하게 보면 어떤 점에서 일관성이 확보가 될 것인지 하는 걸 아마 실무에 계신 분들은 파악할 수 있을 것이라고 생각을 합니다. 그리고 세 번째 질문은 어제 전체회의, 저희가 위원 전체 구성이 9명인데 7명이 어제 회의를 했습니다. 7명이 회의를 하게 된 어떤 경위는 두 분이 회피를 하셨습니다. 그래서 7명 구성이 됐고요. 두 분이 회피를 한 것은 회피는 아시겠습니다만 당사자가 공정한 판단을 저해할 우려가 있을 것 같다, 라고 스스로 판단을 해서 '저는 회피하겠습니다.'라고 하는 겁니다. 그래서 회피를 스스로 하면 위원회 쪽에서 '왜 회피하시죠?' 이런 걸 판단하는 과정이 없습니다. 그냥 본인이 회피하면 '알겠습니다.' 하고 빠지는 그런 구조고요. 그래서 아무튼 두 분이 회피를 해서 일곱 분이 모여서 어제 회의를 진행했었다. 저희 규정상 의사, 의결정족은 전체 위원의 과반수입니다. 그래서 일곱 분이 모여서 회의를 진행한 것의 어떤 절차적인 정족수 맥락의 문제는 전혀 없었습니다. 그리고 네 번째 질문은 음성데이터 이런 걸 구분해서 과징금 산정 과정에서 고려가 됐냐, 이런 건데 그렇게 고려하지 않았습니다. 이 회사, 해커가 회사 네트워크에 들어와서 여러 네트워크, 여러 시스템에 어떤 악성코드를 심어 놓고 그리고 해커가 여러 시스템을 다닌 흔적이 있었고 또 고시 여러 항목을 위반한 그런 정황이 있었기 때문에 그런 것들을 포함해서 회사 통신서비스 전반, 그중에 5G하고 LTE 영역 관련된 음성데이터 이런 것들을 같이 고려를 했습니다. <질문> 안녕하세요? 좀 전에 질문에서 상업적 취득 목적이라고 얘기를 하셨던 것 같은데 이번에 과징금이 역대 최대 규모다 보니까 과거 구글하고 메타 사례를 비교한 의견들이 있을 것 같습니다. 그때는 아무래도 개인정보를 고의성으로 수집하기 위한 목적이 있었는데 이번에는 관리의 허술함은 있었지만 사건 자체가 해커에 의해서 외부에서 발생한 사고로 봐야 되는데 이게 좀 과도하다는 의견이 나올 수 있는 것 같은데요. 그에 대한 입장 부탁드립니다. <답변> (고학수 위원장) 아마 지금 질문 주신 것은 저희 과징금 산정 과정에서 1차 감경, 고시의 그런 내용 관련된 것 같습니다. 그래서 1차 가중 또는 감경 중에 경제적 이익을 취한 것이 있는지 여부가 고려되게 되어 있습니다. 그래서 회사가 해킹사고로 인해서 직접적인 경제적 이득을 취한 부분은 없기 때문에 그 점에서 감경이 된 면이 있습니다. 그리고 다른 한편, 회사 내부에서, 회사 내부 일부 직원들이 '우리가 조금 더 적극적인 투자를 해서 보완해야 될 부분들이 있지 않나?' 이런 내부적인 문제의식이 반영된, 하지만 결론적으로는 또 투자가 충분히 이루어지지 않은 이런 부분들도 있어서 그에 관한 문제의식을 저희가 제기하고 그에 관해서 반영한 부분이 좀 있고요. 구글, 메타의 경우에는 일단 이 과징금 정하는 기준이 되는 관련 고시 자체가 지금 고시하고 전혀 다른 고시였습니다. 그래서 그렇게 지금 1차 가중감경, 거기에 경제적인 이익을, 이득을 취했는지 여부를 고려하는 이런 식의 기준 자체가 그 당시에 아마 다른 형태로 있었을 것이고요. 그래서 직접적인 비교 자체는 어렵고 그래서 그 부분 비교해서 설명하는 것은 쉽지 않다, 그런 말씀드리겠습니다. 그리고 한 가지 보충해서 아까 ISMS-P 의무화 관련된 질문 주셨던 거 관련해서 보완적으로 조금 설명을 드리면 만약에 ISMS-P 의무화하려고 하면 그거는 법률 개정이 필요한 점이 있습니다. 그래서 그거는 향후 논의가 더 필요하고요. 다만, 지금 조만간 발표될 대책에는 '이 SKT 건으로부터 조금 더 직접적으로 문제의식을 얻어서 이동통신 서비스라든가 주요 공공시스템에 대해서는 의무화를 하는 게 필요한가?' 이런 검토는 하고 있다, 그래서 그에 대해서는 지금 내부 논의 중이고 다음, 다음 달에 대책 조금 더 확정적으로 구체화해서 발표할 때 설명드리도록 하겠습니다. <답변> (사회자) 오랜 시간 동안 브리핑에 참석해 주신 데 대해서 감사드립니다. 이상으로 오늘 브리핑을 마치도록 하겠습니다. 감사합니다. <답변> (고학수 위원장) 고맙습니다. <끝> [출처] 대한민국 정책브리핑(www.korea.kr)

[개인정보보호위원회]개인정보위 제18회 전체회의 결과(25.08.28.)

관리자 · 2025.08.28 · 24

<고학수 개인정보보호위원회 위원장>

안녕하십니까? 개인정보보호위원회 위원장 고학수입니다.

우리 위원회는 8월 27일 제18회 전체회의를 개최하여 지난 4월 개인정보를 유출한 SK텔레콤에 대해서 안전조치 의무 및 유출 통지 위반으로 과징금 1,347억 9,100만 원 그리고 과태료 960만 원을 부과하였습니다.

우리 위원회는 지난 4월부터 3개월이 넘는 기간 동안 집중조사 T/F를 구성하여 유출 관련 사실관계 그리고 개인정보보호법 위반 여부 등을 중점 조사하였습니다.

조사 결과, SK텔레콤이 다수의 안전조치 의무를 위반하여 2,300만이 넘는 고객 대부분의 주요 디지털 개인정보인 휴대전화번호, 가입자식별번호(IMSI), 유심인증키 이런 정보 등이 유출된 것을 확인하였습니다.

아울러, 유출사고 발생 이후에 정보 주체의 피해 확산 방지를 위한 개인정보 유출 통지를 지연하는 행위가 있었다는 점 그리고 해커가 SK텔레콤 내부망에 침투한 이후에 개인정보를 유출한 경로로 활용된 통신 인프라 영역에 대한 개인정보보호 관리·감독이 매우 허술하게 이루어지고 있었다는 점도 확인하였습니다.

이에 SK텔레콤에 대하여 과징금 및 과태료 부과와 함께 향후 개인정보보호 강화를 위해 개인정보보호책임자(CPO)가 실질적인 역할과 책임을 다할 수 있도록 거버넌스 체계를 정비하는 한편, 재발방지 대책을 수립하여 시행할 것에 대해 시정명령하고, 유출사고가 발생한 이동통신 네트워크와 시스템에 대해서 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득하도록 개선 권고하였습니다.

우리 위원회는 이번 유출사고를 계기로 다음 달 중에 대규모 개인정보처리자의 개인정보보호와 보안 관련 투자 확대를 유도하기 위한 제도 개선사항과 인센티브 체계 개편을 담은 '개인정보 안전관리체계 강화 종합대책'을 마련하여 발표할 예정입니다.

이번 처분을 통해서 대규모 개인정보를 보유하고 처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 생각하는 인식의 전환이 이루어지기를 바라고 있습니다.

아울러, 개인정보보호책임자와 전담조직이 기업 경영에서 차지하는 역할과 중요성을 제고하여 전반적인 개인정보보호 체계가 한 단계 강화될 수 있는 계기가 되기를 바랍니다.

<남석 개인정보보호위원회 조사조정국장>

조사조정국장입니다.

배포해 드린 보도자료를 중심으로 해서 상세 브리핑 드리도록 하겠습니다.

대응 경과입니다.

위원회는 4월 22일 SKT 유출 신고에 따라 신고 당일 한국인터넷진흥원과 집중조사 T/F를 구성하여 전담조사에 착수하였습니다.

조사 결과, SKT가 제공하는 이동통신서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE와 5G 서비스 전체 이용자 2,324만여 명의 휴대전화번호, 가입자식별번호, 유심인증키 등 25종의 정보가 유출된 것을 확인하였습니다.

특히 이동통신 이용에 필수적인 가입자식별번호, 유심인증키가 대규모로 유출됨에 따라 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미친 바 있습니다.

유출 경위와 관련해 해커는 2021년 8월경부터 내부망에 최초 침투하여 다수 서버에 악성 프로그램을 설치하였고, 2022년 6월경부터는 추가 거점을 확보하였으며, 금년 4월 18일에 홈가입자서버에 저장된 이용자의 개인정보를 외부로 유출하였습니다. 구체적인 유출 경위는 배포해 드린 자료를 참고해 주시면 될 것 같습니다.

4페이지, 개인정보보호법 위반사항에 대해 중점적으로 보고드리도록 하겠습니다.

이번 사고는 SKT의 기본적인 보안조치 미비와 관리 소홀로 인해 발생한 것으로 확인되었으며, 조사 과정에서 확인된 주요 위반사항은 다음과 같습니다.

먼저, 안전조치 의무 위반 관련하여 접근 통제조치를 소홀히 하였습니다. SKT는 외부인터넷망, 시스템관리망, 코어망, 사내망을 동일한 네트워크로 연결하여 운영하면서 인터넷망에서 내부관리망 서버로의 접근을 제한 없이 허용하는 등 인터넷과 내부망 간 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었습니다.

또한, 침입탐지시스템의 이상행위 로그를 확인하지 않는 등 불법적인 유출 시도에 대한 탐지 대응조치를 소홀히 한 점도 확인되었습니다.

다음, 접근권한 관리 소홀과 관련하여 다수 서버의 계정정보인 아이디와 패스워드를 관리망 서버에 암호 설정 등의 제한 없이 저장·관리하고 있었으며, HSS에서는 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영한 사실을 확인하였습니다.

다음, 보안 업데이트 미조치와 관련하여 상당히 오래전에 그 보안 취약점이 보고되었음에도 2025년 4월 유출 당시까지 보안 업데이트를 실시하지 않은 사실을 확인하였습니다. 아울러, 백신 외에도 이를 대체하는 보안조치를 소홀히 한 사실을 함께 확인하였습니다.

다음 6페이지, 유심인증키 관련입니다.

SKT는 가입자 인증과 이동통신서비스 제공에 필수적으로 사용되는 인증정보인 유심인증키를 암호화하지 않고 평문으로 저장한 사실을 확인하였습니다.

특히 타 통신사 등이 이미 암호화하여 저장하고 있음을 확인하고 암호화 조치를 검토하였으나 이를 조치하지 않아 유출 피해를 예방하지 못한 사실을 확인하였습니다.

다음, 개인정보보호책임자(CPO)의 지정 및 업무 수행과 관련하여 이번 유출사고가 발생한 인프라 영역에 대하여 CPO가 개인정보처리 실태조차 파악하지 못하는 등 CPO에 의한 관리·감독이 사실상 이루어지지 않은 것을 확인하였습니다.

다음, 개인정보 유출 통지와 관련하여, 정보 주체에게 개별 유출 통지를 실시하지 않고 있어 위원회는 5월 2일 즉시 유출 통지를 진행할 것을 긴급 의결한 바 있으나 SKT 측은 5월 9일에 유출 가능성에 대해 통지를 실시하고 7월 28일 유출 확정 통지를 실시한 바 있습니다.

이번 처분에 앞서 개인정보보호위원회는 조사 결과 및 처분 방향에 대해 위원들 간 충분한 논의 및 의견 수렴을 위해 총 네 차례의 사전 검토회의를 거쳤고 전체회의 과정에서도 사업자가 출석하여 의견 개진 및 질의응답 등을 거친 후 최종처분안을 확정하였습니다.

이번 조사 처분은 단순히 특정 기업에 대한 제재를 넘어 우리 사회 전반에 개인정보보호의 중요성을 다시 한번 환기시키는 계기가 될 것으로 판단하고 있습니다.

기타 저희가 이번 유출사건에 대해서 제재·처분을 심의·의결하는 과정에서 논의되었던 주요 쟁점별 검토사항에 대해서는 붙임으로 참고해 드렸으니 참고해 주시면 될 것 같습니다.

이상 브리핑 마치도록 하겠습니다.

[질문·답변]

※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 질문 몇 가지 드리겠습니다. 과징금 규모를 어떻게 산정했는지에 대해서 구체적으로 말씀해 주시면 좋겠는데요. 원칙적으로 3,000억대까지 나올 수 있다고 하는 시각도 있었고 또 다른 한쪽에서는 유플러스나 구글 과징금 사례를 들면서 과도하다고 말하기도 하는데요. 이렇게 과징금을 매기게 된 경위나 배경 등을 구체적으로 설명해 주시면 감사하겠고요.

두 번째에서는 개인정보위가 그동안 CPO 역할 강화에 대해서 많은 노력을 하고 있었던 걸로 알고 있는데, SK텔레콤 CPO 역할에 대해서도 조사를 하신 듯해요. CPO가 CISO까지 겸임을 하고 있었던 걸로 알고 있는데 사실상 SK텔레콤 정보보호 보안을 총괄하는 자리였거든요. 그런데 이렇게 반쪽짜리 역할만 할 수 있었던, 하게 된 이유가 무엇인지 궁금하고, 그렇다면 통신 인프라 쪽에서는 보안을 과연 누가 책임지고 어떻게 관리하고 있었던 건지도 함께 말씀해 주시면 감사하겠고요.

사실 이런 상황은 통신3사 다 비슷하다고 알고 있고 그나마 유플러스가 개인정보 유출 이후 조금 나아진 부분이 있었던 걸로 알고 있는데 관련해서 반쪽짜리 CPO가 더 이상 이제 나타나지 않게 하기 위해서 개인정보위가 제도 개선이라든지 어떤 역할을 할 것인지에 대해서 같이 말씀해 주시면 감사하겠습니다.

그리고 SK텔레콤이 어제 전체회의에 출석해서 어떤 의견들을 개진했는지도 주요 내용만 말씀해 주시면 감사하겠습니다.

<답변> (고학수 위원장) 첫 번째로, 과징금 산정 관련해서는 과징금, 우리 쪽 출입하는 기자분들은 잘 아시겠습니다만 전체 매출액에서부터 출발이 되고요. 회사의 전체 매출액에서 관련 매출액, 관련 없는 매출액을 제외한 후에 그리고 우리 법 관련된 고시, 과징금 고시에 구체적인 기준들이 있습니다. 기준금액이라고 하는 걸 정하게 되고요.

그래서 기준금액을 정한 다음에는 중대성 판단이라는 것을 하게 되고 또 중대성 판단을 한 뒤에 1차 가중감경, 2차 가중감경, 최종 과징금 액수의 결정 이렇게 단계적으로 다 진행이 되게 돼 있고, 그 각각의 단계에서 어떤 요소가 어떤 식으로 반영돼야 하는지는 고시에 다 규정이 있습니다.

그래서 출발점에서는 예를 들면 SK텔레콤 연결재무제표상의 매출액은 연간 17억... 17조 정도 되는데 그중에 이 회사 통신과 관련된 매출액 산정을 하고 그중에서 예컨대 개인고객, 또 이번 건은 LTE하고 5G 네트워크하고 관련이 있습니다. 그래서 그런 부분들 고려를 하고, 다른 한편, 개인고객이 아닌 법인고객이라든가 이런 부분들 관련된 매출액은 제하고 이런 식의 과정들을 쭉 거치면서 기준금액을 정하게 되고요.

또 중대성의 경우는 '매우 중대함' 이렇게 결정이 됐고요, 위원회 회의 통해서. 그리고 1차 조정에서는 예를 들면 위반 기간이 3년 넘는 기간이었기 때문에, 이 고시에 아주 기계적인 규정이 있습니다. 2년 넘으면 그 기간에 대해서 가중하게 돼 있고 다른 한편, 직접적인, 경제적인 이득을 취하지 않은 부분에 대해서는 또 감경을 하게 돼 있고, 또 2차 가중감경에 있어서는 예컨대 회사가 시정조치를 어떤 식으로 취했는지 또 피해 보상을 위해서 어떤 노력을 했는지 이런 것들을 고려하게 돼 있어서 그런 부분들이 고려돼서 감경이 되고, 그런 단계를 거쳐서 최종액수가 정해졌습니다.

그리고 두 번째, CPO 역할 관련해서는 이 사건이 발생한 이후에 회사가 CPO, CISO, 다 새로 영입을 했고 아니면 새로, 그 자리에 새로운 분을 모시는 그런 과정을 진행했고 그 과정에서 회사 내부 조직 개편을 일부 했습니다.

그런데 그 조직 개편을 일부 했지만 완결된 것이 아니고 어제 회사 쪽에서 와서 설명한 것을 보면 지금 지속적인 고민을 하고 있는 중이고 회사의 고민은 결국은 유사 문제가 다시 생기지 않도록 하는 것이 당연히 회사 쪽의 고민이 되겠고요.

기자분 질문하신 것과 같이 SK텔레콤의 경우에 우리가 조사 과정에서 파악한 문제 중의 하나가 IT 전반을 다루는 부서와 인프라, 네트워크 인프라를 다루는 부서 사이의 역할 부분이 실질적으로 좀 있었고, 회사 내부 어떤 역할상 CPO가 네트워크 인프라를 볼 수도 있지만 현실에서는 굉장히 제한적으로만 보는 그런 업무 관행이 만들어졌던 것 같고, 그래서 그에 대해서 어떤 식으로 뭐랄까, 효과성 있게 효율적으로 전반, 회사 네트워크 전반을 볼 수 있는 체계를 만들 것인가에 관해서는 회사에서 계속 고민을 하고 앞으로도 저희 위원회하고 소통을 하면서 조금 더 뭐랄까, 효과성이 있게 내부 거버넌스 체계를 마련할지에 대해서는 계속 만들어 가는 과정이라고 보시면 될 것 같습니다.

그리고 세 번째, 어제 출석을 해서 회사 쪽에서 굉장히 상세한 설명을 했습니다. 아주 구체적인 저희가 지적한 문제에 대한 설명도 하고 큰 틀에서 앞으로 어떻게 개선해 갈지에 관한 설명도 했었습니다.

그 전반적인 과정에서 사실은 지난 몇 달을 거치는 전체 과정을 보면 회사가, 저희 위원회 쪽 T/F가 현장조사는 7월 20일경 마무리가 됐고요. 현장조사 마무리된 이후에 회사 쪽 실무자들하고 여러 가지 소통하고 회사 쪽의 설명이나 소명도 듣고 이런 과정들이 쭉 있었는데, 어제까지 그 이전, 어제 이전까지는 회사가 굉장히 적극적으로 회사 입장을 소명하고 또 회사가 문제 상황이 발생하긴 했지만 사실은 회사가 할 수 있는, 상식적인 또는 합리적인 선에서 할 수 있는 최선은 다한 것이다, 라고 하는 매우매우 적극적인 소명을 하고 법적인 절차의 관점에서도 매우 적극적인 대응을 했었는데, 어제 와서 회사 쪽 설명은 약간은 달라졌습니다.

그러니까 그전까지는 회사가 '합리적인 선에서 할 수 있는 건 다 했다.' 이런 것이었는데 어제는 와서 '사실은 문제가 좀 있었고 그에 대해서 굉장히 뭔가 아쉽기도 하고 죄송스럽게 생각한다. 또 앞으로 훨씬 더 적극적으로 위원회하고 소통하면서 문제가 안 생기도록 노력을 훨씬 더 열심히 하겠다.'라는 취지의 설명을 다각도로 했습니다. 그리고 그에 대해서 위원님들이 여러 가지 궁금해하시는 점 질문하고. 그래서 회사 쪽의 설명을 듣고 질의응답 하는 시간이 여타 사건에 비해서 훨씬 긴 시간을 할애해서 진행했었습니다.

<질문> 안녕하세요? 방금 위원장님께서 과징금 기준 잡을 때 회사 매출 기반으로 기준금액 정한 다음에 중대성 판단을 이후로 하셨다고 했는데 구체적인 기준금액을 혹시 공유해 주실 수 있는지가 첫 번째 질문이고요.

두 번째는 이게 심의가 빨리 안 끝나면 추가 전체회의 잡힐 수도 있다는 전망도 있었는데 그렇게 보면 위원들 간에 제재 수위에 큰 이견이 없었던 건지, 일부에서는 좀 이른 결론을 낸 것 아니냐는 지적도 있는데 여기에 대해서는 혹시 어떻게 생각하시는지 말씀 부탁드리겠습니다.

<답변> (고학수 위원장) 기준금액, 중대성 이런 것들 다 말씀드린 대로 단계, 단계 거치면서 정하게 되어 있는데 그 뭐랄까, 그 각각의 단계에 대해서 구체적인 액수가 얼마였는지 이런 것을 저희가 설명드리기는 곤란할 것 같고요.

다만, 기준... 기본적으로는 기준금액을 정한 것은 아까 개략적으로 말씀드린 것과 같이 회사의 연결재무제표상 과거 3년간, 2022년, 2023년, 2024년 3년간 전체 매출을 일단 잡고 그중에서 SK텔레콤 매출을 빼내고 SK텔레콤에서 예를 들면 3G라든가 이런 것들은 또 빼냅니다. 그리고 또 아까 말씀드린 대로 개인고객에 관련되지 않은 부분들, 법인 관련이라든가 또는 다른 회사와의 어떤 정산이라든가 그런 부분들을 빼냅니다. 그래서 그런 걸 빼내는 작업을 한 후에 남는 액수, 그게 기준금액이 된다, 그 정도 말씀을 드리겠고요.

어제 회의는 사실은 저희 위원님들하고 같이 상황에 관한 이해도도 높이고 또 서로 의견 조율하고 이런 과정들이 당연히 있었고, 근데 그게 어제 회의뿐 아니라 어제 회의 이전에 위원분들 사이의 간담회를 네 차례를 했습니다. 그래서 사실은 하나의 개별 건을 가지고 간담회를 네 번씩 한 경우는 제가 위원장 하는 동안에는 그 정도로 많이 한 것은 처음이었고요.

그리고 어제 회의도 사실 저녁까지 이어지면서 식사 시간을 넘기면서 그냥 회의 진행하면서 김밥을 먹으면서 계속해서 논의를 하는 과정이 있었고요. 그리고 그런 논의 과정이라고 하는 게 결국은 위원님들 사이에 여러 가지 의견들 서로 얘기하고 의사 교환하고 조율하고 이런 과정이라고 말씀을 드리겠고요.

그리고 너무 당연한 거지만 위원님들 사이에 의견이 처음부터 이렇게 일치되지는 않았고, 오히려 그러면 이상한 거겠죠. 다양한 의견들이 있었고 그 다양한 의견들을 서로 또 주고받고 논의하고 하면서 결국은 컨센서스를 이루어냈습니다. 그래서 예를 들면 누가 투표를 하고 이런 식으로 의사결정을 하지는 않았고 계속 논의를 하면서 결론을 만들어 내는 그런 과정이었다고 이해를 해주시면 되겠습니다.

<질문> 안녕하세요? 다른 건 아니고 어제 SKT가 전체회의에서 의견 개진하면서 사과하고 잘못했다고 했지만 그럼에도 불구하고 어쨌든 이 액수가 적은 액수는 아니다 보니 SKT 측에서 행정소송에 나설 것으로 아무래도 예상이 됩니다. 그 관련돼서 개인정보위원회의 입장 부탁드리겠습니다.

<답변> (고학수 위원장) 회사가 추후에 소송을 할지 여부는 제가 지금 이 자리에서 뭐랄까, 예단해서 얘기할 상황은 아닌 것 같고요. 다만, 제가 말씀드릴 수 있는 것은 이렇게 조사하고 처분하는 그 과정에서 저희가 T/F를 꾸려서 진행했는데 사실은 저희 조직 규모로 볼 때 T/F에 투입된 인력은 사실 이례적으로 많은 인력이 투입이 됐고, 조사 전문가뿐 아니라 법률 전문가, 회계 전문가가 투입돼서 조사 전체 절차가 진행됐다, 그리고 그런 관점에서 위원회가 할 수 있는 역량을 최대한 발휘해서 꼼꼼하게 진행했다, 이런 말씀드리겠습니다.

<질문> 지난 5월에 위원장님께서 '이번 유출사고 관련 데이터가 싱가포르로 유출된 정황이 확인됐다.'라고 하셨는데 관련해서 국제 공조와 조사가 어떤 식으로 이루어지고 있는지 상황 설명 부탁드리고요.

그리고 여기 보도자료 맨 마지막 페이지에 보면 '2024년 12월부터 2025년 4월까지 외부로 유출된 정황이 없고 그 이전 기간에 대해서는 유출 여부를 확인할 수 없다.'라고 되어 있는데 이것 관련해서도 설명 부탁드립니다.

<답변> (고학수 위원장) 외국으로 데이터가 나간 부분은 사실은 싱가포르 거쳐서 그다음에 어디로 갔는지는 파악해야 되는데 그 부분은 사실 저희 위원회가 직접 관여하는 부분은 아니고, 아마 수사당국에서 그에 대해서 후속 조사·수사를 하고 있는 것으로 알고 있습니다. 그래서 그 부분은 저희가 구체적으로 말씀드릴 수 있는 부분은 딱히 없을 것 같고요.

지금 아마 두 번째로 질문하신 부분은 ICAS 서버 관련인 것 같은데 실제로 데이터의 어떤 취약점, 그래서 외부망하고 연결될 수 있는 부분은 HSS 서버하고 ICAS 서버하고 두 서버가 외부하고 연결이 되어 있었던, 그런 취약점이 있었던 서버인데 HSS 서버에서 정보가 유출된 부분에 대해서는 저희가 굉장히 명확하게 상황 판단을 할 수... 파악을 할 수가 있었는데 ICAS 서버에서 나간 정보는 이미 3년 넘는 기간 동안 취약한 상태에 노출되어 있기는 했는데 방화벽 로그가 4개월 치 로그만 남아 있는 상황이었습니다.

그래서 올 초부터 4월 사건이 일어난 그 무렵까지는 방화벽 로그를 통해서 데이터가 ICAS 서버를 통해서는 유출되지 않았다는 것을 확인했는데, 다른 한편 올 1월 이전 그리고 취약점이 노... 취약한 상태로 노출되어 있었던 2022년 6월인가요? 그때부터 2년 넘는 기간 동안에는 유출이 되었는지 아닌지 자체를 확인할 수가 없었습니다. 그래서 그 부분은 확인 불가 그렇게, 그런 상태라고 보시면 되겠습니다.

<질문> 물론 회사의 매출 규모도 반영이 됐겠지만 그간 개인정보위가 처분한 과징금 중에서는 가장 큰 규모로 나왔는데요. 어제 위원들께서는 어떤 부분이 굉장히 중대하고 국민들에게 피해를 가장 많이 입혔다, 이렇게 판단하셨는지 궁금하고요. 그리고 지금 말씀 주셨던 개인정보 안전체계 관리방안, 종합책, 대책 어떤 내용이 담기는지도 궁금합니다.

그리고 아울러서 분쟁조정위 개시가 그럼 이제 시작되는 건지, 그리고 추가 참가자 모집도 가능한 건지 궁금합니다.

<답변> (고학수 위원장) 회사가 개인정보보호 관련해서 어떤 허술한 점이 있었는지에 관해서는 위원님들마다 보는 관점이 조금씩은 달랐지만 총체적으로 보면 회사가 꽤 오랜 기간을 두고 전반적으로 허술한 상태를 유지하고 있었다는 그런 총체적으로 굉장히 취약한 상태에 놓여 있고 그런 것을 회사가 꽤 긴 기간을 두고 충분... 이렇게 알 수 있는데, 조치를 할 수 있는 그런 상황들이 중간, 중간에 그런 계기들이 있었는데 그걸 놓쳐, 계속적으로 놓친, 꽤 기간, 긴 기간 동안. 이런 것들이 뭐랄까, 위원님들 전반적으로 답답함을 느낀 부분이 있고요.

다른 한편, 다들 아시다시피 우리 1위 통신사이고 우리 국민 대략 절반 되는 이용자를 갖고 있는 이런 통신사이고, 또한 결국 유심정보라고 하는 게 지금 우리가 일상생활을 함에 있어서 뭐랄까, 개개인 입장에서 사회화 아니면 다른 사람들과 소통하고 하는 데 있어서 핸드폰이 결국은 결정적인 어떤 창구가 되는데, 그럼 핸드폰이 그 창구가 되는 기계적인 또는 엔지니어링적인 관점에서의 아주 궁극적인 출발점은 결국은 유심정보인 것 같은데, 임시 IMSI 정보 그런 정보가, 그런 점에선 매우매우 중대한 성격을 가진 정보가 유출됐는데 그 회사가 관리를 잘 못 했다, 라고 하는 것에 관한 문제의식을 아마 대부분 위원님들이 가지셨던 것 같고요.

조만간 발표될 정책 방안은 저희가 이번 건을 계기로, 그전에도 일부 문제의식을 갖고 있던 부분들이 있긴 한데 가장 핵심은 이겁니다. 기업 현장 또는 기관, 공공기관 다 마찬가지인데 현장에 있는 분들이 뭐랄까, 굉장히 수동적이고 기계적으로 우리 위원회 법률, 고시 또는 지침해설서 이런 데 있던 것들을 최소한의 것만 하게 되고 그러면 모든 게 해결된 것처럼 생각하는 그런 관행과 문화를 어떤 식으로건 깨뜨리면 좋겠다, 라는 것이고요.

그 관행을 깨뜨린다는 거는 거꾸로 뒤집어서 얘기하면 어떻게든 조금 더 실제 현장에서 합리적인 선에서 할 수 있는 최선의 노력을 다하도록 하고, 또 예를 들면 법이나 고시에 있는 것은 최소한의 것이고 그것보다 조금이라도 더 필요한 것들을 현장에서 느끼면 최대한 그걸 할 수 있는 그런 구조, 분위기를 만들고, 또 인센티브를 제공해서 최소한의 것을 넘어서 뭔가 추가적으로 할 수 있으면 하면 좋겠다, 그리고 만약에 그런 추가적인 것을 할 경우에는 우리 위원회가 인센티브를 제공해서 현장에서 추가로 할 수 있는 그런 분위기를 조성하도록 하고, 또 다른 한편, 개인정보 관련된 현장에 있는 분들이 충분한 어떤 역할과 전문성과 또 자기 개개인 입장에서의, 직업상의 커리어 경로 이런 것도 만들어 낼 수 있는 그런 분위기를 유도하고자 합니다.

지금까지는 흔히 개인정보 업무를 하는 분들이 뭐랄까, 조직 안에서 되게 큰 역할을 부여받지 못하는 경우도 많고, 경우에 따라서는 오히려 문제 상황에서 책임만 떠맡는 이런 경우도 꽤 많았었는데요. 오히려 당연히 책임이 더, 오히려 앞으로 더 늘어나야 되겠지만 그 책임에 걸맞은 조직 안에서의 권한도 부여받고 조직이나 예산 이런 것도 확보할 수 있는 그런 방향으로 준비를 하고 있고 외부분들하고 소통을 일부 하면서 정리하고 있고 조만간 그 방안은 확정해서 발표할 예정입니다.

그리고 조정 관련해서 말씀을 주셨는데 지금 조정 이미 들어온 것들이 있는데 처분할 때까지는 일단 후속 절차는 정지되어 있는 상태입니다. 개개인이 조정 신청을 하는 것들이 흔히 있는데 지금 이번 건은 워낙 많은 분들이 비슷한 피해를 입었기 때문에 집단분쟁조정도 신청이 돼 있고요.

그래서 집단분쟁조정은 3개의 건이 들어와서 집단분쟁조정을 신청하신 이용자분들은 2,000명 정도가 되고 그거와 별개로 개개인이 신청한 건이 현재까지는 600건 넘는 개개인 신청자가 있습니다. 그리고 앞으로도 신청은 열려 있기 때문에 신청자가 더 늘어날 가능성은 있고요. 처분이 내려졌기 때문에 지금 절차가 멈춰져 있는, 정지된 절차는 다시 재개해서 분쟁조정 절차에 맞춰서 재개될 그런 상황입니다.

<질문> 안녕하세요? 통상적인 사건에 비해서 이번이 만 4개월 정도 조사 기간 거치신 걸로 아는데 내부적으로는 어떻게 평가하고 계시는지 한 번 더 여쭤보고요. 그리고 2022년 구글 과징금 내리실 때에는 사실관계 확인과 판단 범위가 광범위해서 시간이 오래 걸리셨다고 하셨었는데 이번 사건에는 그럼 어떻게 보면 인과관계 판단이 조금 수월하셨던 건지 궁금하고요.

그리고 과징금 부과하실 때 중대성 판단이 크게 상·중·하로 판단하시는 걸로 아는데 어쨌든 과중하다고 보시고 상으로 결정하신 건지도 궁금합니다.

<답변> (고학수 위원장) 이번 건의 경우에는 4월 22일인가 유출신고가 들어오고 거의 곧바로 저희가 T/F를 꾸려서 조사 진행을 했습니다.

저희가 실무자들이 '맨아워'라는 표현을 쓰죠, 사람 숫자하고 각각 시간을 어느 정도 투입했는지. 이런 거를 정확하게 산출할 수는 없지만 개략적인 산출을 한번 해본 적이 있는데 그렇게 맨아워를 산출해 보니까 저희가 흔히 다른 건에 투여하는 경우에 비해서 맨아워가 비교할 수 없을 정도의 많은 맨아워가 투입이 됐었고요.

현장조사는 7월 23일인가 22일경 종료가 됐습니다. 그래서 그런 관점에서는 실제, 그러니까 저희가 현장에 아예 조사관이 몇 달 동안 상주를 한 거예요. 그래서 회사 내부에 어떤 상황이었는지, 어떤 구체적인 문제가 있었는지 파악하는 과정이 있었고, 그래서 그런 관점에서 저희가 조사 인력을 굉장히 우리 위원회 구조나 인력 규모를 고려할 때 굉장히 많이 투입했고 실제 현장에 상주하면서 또 조사하고 그래서 실제로 무슨 일이 있었는지에 관한 사실 파악이 상대적으로 빠른 속도로 빠르게 파악이 되고 정리하는 게 가능했던 점이 있었고요.

그리고 아주 넓게 우리 위원회 내부적으로는 침해사고, 유출사고 이렇게 크게 구분해서 업무를 처리합니다. 근데 이건, 이런 건은 유출사고의 카테고리에 들어가는데요. 그러니까 해커가 들어가서 정보를 빼간 이런 건데, 해커가 들어가서 정보를 빼간 유형의 사안은 일반적으로 사건이 발생한 지 얼마 안 된 경우에는 회사 로그기록 같은 것, 접근한 기록들, 네트워크 상황이 어땠는지, 예를 들면 그런 것에 관한 정보가 상대적으로 많이 있기 때문에 빨리 조사하면 할수록 상황 파악이 수월한 점이 있습니다. 근데 만약에 5년, 10년, 기간이 오래 지나고 나면 로그기록 같은 것들이 다 사라지고 하면 어떤 일이 있었는지 파악하는 것이 당연히 훨씬 어려워지고요.

근데 다른 한편 유출사고가 아니라 침해사고, 아까 질문하신 구글, 메타 이런 유형의 건들은 우리가 위원회 내부적으로는 침해사고라고 부르는 겁니다. 그러니까 무슨 외부에서 해커나 누군가가 불법적으로 침입해서 정보를 빼간, 도둑질하듯이 빼간 이런 종류의 사안이 아닌 거죠. 침해사고의 경우는 개별 건에 따라 굉장히 다른 종류의 판단과 분석이 필요합니다. 그래서 구글, 메타 건의 경우는 이 사건의 본질을 어떻게 볼 것인지에 관해서 내부적으로 분석하고 정리하고 논의하고 하는 과정이 훨씬 더 오래 걸린 그런 면이 있고요.

그래서 그런 점에서 굉장히 다른 종류의 사안, 그러니까 내부, 실무적인 차원에서는 굉장히 다른 종류의 사안이고 말씀드린 대로 유출사고와 관련된 사안은 즉각적으로 상황 파악을 하는 게 가능한 경우에는 상대적으로 빠른 시일 내에 분석과 정리가 이루어질 수 있다, 이런 말씀드리고요.

중대성 관련해서는 저희 관련 고시에 네 가지 카테고리가 명시되어 있습니다. 네 가지 카테고리를 고려해서 중대성 판단을 하게 되어 있는데, 이 건의 경우는 '매우 중대함'으로 결론적으로 결론이 내려졌는데 매우 중대하다고 본 거죠.

이 유출된 정보의 본질, 성격도 되게 중대하고 또 굉장히 2,300만이 넘는 이용자의 정보가 유출된 것도 굉장히 중대하고, 다른 한편, 회사가 지난 몇 년에 걸쳐서 취약한 상태에 노출되어 있었다, 라고 하는, 그래서 어떤 점에서 취약했는지 하는 것들이 한두 가지 포인트가... 이거 하나가 취약해서 문제가 생겼다가 아니라 굉장히 광범위하게 여러 가지 종류의 취약점들이 있었습니다. 그래서 우리 고시 기준으로는 고시의 여러 가지 항목들을, 하나의 항목을 위반한 게 아니라 고시의 여러 가지 항목을 위반했었습니다. 그래서 그런 것들이 같이 고려가 돼서 중대성 판단에 있어서 매우 중대함 이렇게 결론이 내려졌습니다.

<질문> 그 유출된 정보가 개인정보인지 판단하는 게 쟁점이 됐을 것 같은데요. 유출된 25종 모두 개인정보로 판단했는지 궁금하고요. 또 개인정보로 판단한 근거 역시 말씀해 주시면 감사하겠습니다.

<답변> (고학수 위원장) 저희는 신고, 유출신고가 들어왔을 때부터 너무 당연히 개인정보라고 생각을 했고요. 그러니까 개인정보 여부를 판단함에 있어서, 예를 들면 25종 정보가 있었는데 25종 정보를 열거한 다음에 1번은 개인정보, 2번은 개인정보 아니고 3번은 개인정보 이런 식으로 판단하지 않습니다. 그러니까 유출된 정보를 전체적으로 개인정보 이렇게 보는 거죠. 그래서 이 중에 예컨대 1번부터 10번은 개인정보지만 11번부터 나머지는 아니다, 이런 식으로 판단하지 않는 거고요.

아까 말씀드린 것과 같이 지금 우리가 일상생활을 함에 있어서 핸드폰, 스마트폰 그거 없이, 아마 모든 분들이 24시간 잘 때 바로 옆에 두고, 예컨대 화장실 갈 때도 들고 가고 24시간 옆에 두고 있는 것이 핸드폰인데 그 핸드폰은 개개인과 떼려야 뗄 수 없는 상황이잖아요, 우리 일상에 있어서요.

다른 한편, 그 핸드폰이 나와 타인, 다른 사람들과 소통하는 매개를 통신사가 하는 것이고, 그 통신사가 그 매개의 역할을 함에 있어서는 유심정보가 결국은 가장 핵심이 되는 거고, 그런 관점에서 지금 시대에 있어서 개인이 외부와 소통함에 있어서 가장 핵심적인 정보라고 할 만한 정보가 유출됐기 때문에 너무 당연히 개인정보라고 저희는 판단을 하면서 그에 대해서는 내부적으로 의심을 해본 적이 전혀 없고요.

다른 한편, 회사가 유출 통지할 때 뒤늦게 7월 말에 했는데 거기에 '개인정보 이런 게 유출됐습니다.'라고 고객분들한테 통지를 그렇게 했고, 그리고 회사가 아까 말씀드린 대로 굉장히 여러 가지 측면에서 하나하나 법적인 어떤 소명을 열심히 했는데 다른 한편, '이게 개인정보 아닌 것 같은데요?' 하는 식의 어떤 항변, 소명은 회사가 하지 않았습니다.

<질문> 질문 기회 주셔서 감사합니다. 아까 소명할 때 거기에 대해서 개인정보 여부에 대해서 소명을 그렇게 하지 않았다고 했는데 IMEI 같은 경우에는 유출되더라도 스마트폰 복제 우려가 적다, 라고 했는데 이게 과징금 산정, 여기 감경에 영향을 미쳤는지 궁금하고요.

그리고 ISMS-P 인증 범위를 확대하도록 개선 권고했는데 이거에 대해서 ISMS-P 의무화에 대해서는 어디까지 논의가 나오고 있는지 궁금합니다.

<답변> (고학수 위원장) IMEI, IMSI 말고 IMEI요?

<질문> 네.

<답변> (고학수 위원장) IMEI는 지금 HSS 서버를 통해 유출된 걸 보면 IMEI는 없고요. ICAS 서버에는 IMEI가 있었습니다. 그런데 IMSI 정보와 IMEI 정보를 굳이 비교하자면 IMSI 정보는 개인, 뭐랄까요, 개개인에 할당되는 그런 점에서 조금 더 개인과의 연관성이 훨씬 더 높은 정보이고요. IMEI는 기기에 할당되는 정보입니다. 그래서 그런 점에서 뭐랄까, 기술적인 차이점이 좀 있고, IMSI 정보에 대해서 따로, 어제 회의하면서 따로 논의를 하거나 하지는 않았었고요.

그리고 ISMS-P 관련해서는 저희가 회사가, 기존에 IMSI... ISMS-P 인증을 받은 것은 T world 부분에 한정해서 받았었습니다. 그러니까 회사가 당연히 회사 네트워크가 크고 DB도 굉장히 다양한 것들이 있기 때문에 시스템 전체를 받은 게 아니라 그중에 T world 관련된 부분만 P 인증을 받았었고 나머지 부분은 인증을 받지를 않았습니다. 회사는 앞으로 나머지 부분도 P 인증을 받는 방향으로 고려하고 있다, 그런 것은 회사 스스로 얘기를 한 것이고요.

저희가 P 인증을 무슨 의무화한다거나 아니면 의무 대상을 더 넓힌다거나 이런 식의 고민을 지금 하고 있진 않습니다. 그리고 그거보다는 이 ISMS-P 인증 포함해서 인증제도 전반의 실효성을 어떤 식으로 높일 것인지 그런 고민을 하고 있다, 그래서 아까 말씀드린 것과 같이 정책의 큰 방향은 현장에 있는 분들이 훨씬 더 책임감과 소명의식을 가질 수 있고 다른 한편, 실제 현장에서 체감하는 어떤 리스크 요소들을 어떤 식으로 전향적으로 고려하면서 반영할 수 있을지, 그래서 인센티브를 어떤 식으로 잘 부여할지 지금 그런 틀에서 바라보고 있다, 이렇게 말씀드리겠습니다.

<질문> (온라인 질의 대독) 죄송합니다. 지금 사전에 들어와 있는 질문들이 있기 때문에 그걸 먼저 처리하도록 하겠습니다. 서면으로 지금 물어봐 주신 질문 중에 과징금 규모 산정 기준, 그다음에 어제 SK텔레콤 관계자 입장에 대한 질문들이 있었는데 이건 아까 대답이 된 것으로 보고 넘어가도록 하겠습니다.

이데일리 기자님께서 4개의 질문을 주셨는데요. 한번 제가 대신해서 읽어보도록 하겠습니다. 첫 번째, '유심 복제에 대해 사회적 우려가 컸다고 자료에 나와 있는데 과기정통부 차관은 지난 브리핑에서 복제폰은 어렵다고 했다. 과기정통부와 달리 개보위는 유심 복제가 된다, 라고 판단한 것인가?' 하는 질문이 첫 번째고요.

두 번째는 '개인정보로 상업적 이득을 취한 경우와 아닌 경우는 과징금 기준이 달라야 한다는 의견도 나오는데 앞으로도 다른 기업들이 해킹을 당했을 때 같은 수준의 처벌을 할 예정인가?'

세 번째 질문입니다. '전체회의에 재적위원 아홉 분 중 7명이 참석했는데 성원은 몇 명이 되면 가능한지, 2명이 참석 안 한 이유를 알 수 있을지?' 하는 질문이 있고요.

네 번째 질문은 '기준 금액에서 통신과 관련한 매출액을 산정했다고 했는데 음성과 데이터 매출 중 데이터만 포함했다는 말씀이신지?' 하는 4개의 질문입니다.

<답변> (고학수 위원장) 질문이 여러 개라서 다 기억을 할지 모르겠는데 일단 첫 번째, 유심 복제 이런 맥락의 질문은 실제로 해보신 분들 아시겠습니다만 유심 카드를 공기계, 다른 공기계에 옮겨서 이용하는 것이 흔히 가능합니다. 그런데 '흔히 가능하다.'라고 제가 약간 애매하게 말씀을 드린 이유가 과거에는 일반적으로 가능했었고요. 지금은 SKT의 경우는 거의 불가능합니다.

거의 불가능하게 된 이유는 유심보호서비스를 가입자들한테 다 적용하게 된 그게 제일 큰 이유가 되고요. 다들 아시다시피 유심보호서비스는 이 사고가 난 이후에 적용이, 그전에는 일부 원하는 분들한테만 적용이 됐다가 그 이후에 전체적으로 적용이 됐고요.

유심보호서비스는 기술적인 내용이긴 하지만 IMEI와 IMSI 정보 두 가지 정보를 같이 맞춰서 확인하는 그런 방식이 됩니다. 그리고 추가적으로 회사가 FDS라고 하는 Fraud Detection, 금융 영역에서 주로 쓰던 것인데 이상탐지 이런 기술을 마련해서 적용을 하고 과거에 비해서 또 이 FDS 기술을 더 고도화하는 그런 과정을 거치고 있습니다.

그래서 그런, 넓게 보면 두 가지, 유심보호서비스를 통해서 IMEI의 정보를 추가적으로 확인하는 부분, 또 FDS를 통해서 이상 접속을 확인하는 부분 이런 것들이 아주 완벽하게 작동이 되면 유심 복제는 불가능합니다.

다른 한편, 이게 완벽하게 작동을 하지 않으면 유심 보호가 생길 수도 있습니다. 그래서 올 사고가 나기 이전 같으면 유심 복제가 발생할 수 있는 가능성이 조금 더 폭넓게 열려 있었다고 볼 수 있을 거고요.

지금 현시점, 말씀드린 대로 FDS가 상당히 고도화되고 유심보호서비스가 제대로 작동하는 상황이라면 유심 복제는 거의 불가능한 그런 상황이라고 말씀드릴 수 있을 것 같습니다.

그리고 두 번째는 '과징금 산정 관련해서 다른 사건에도 똑같이 적용이 될 것이냐?'라는 질문인데 사실은 그 모든 사건이 다 독특한 특징들이 있습니다. 그러니까 저희가 당연히 법과 원칙에 따라서 일관성 있게 법을 적용하고 원칙대로 적용을 하는 건 너무 당연하지만 다른 한편 구체적인 개별 사안에 있어서 개별 사건의 특수성도 당연히 고려가 돼야 되기 때문에 저희가 그거를 일관성 있게 하고 동시에 특수성을 또 고려한다, 이런 말씀을 드릴 수밖에 없고요.

우리 위원회가 판단하는 것은 고시에 상당히 구체적인 기준들이 있기 때문에 고시를 꼼꼼하게 보면 어떤 점에서 일관성이 확보가 될 것인지 하는 걸 아마 실무에 계신 분들은 파악할 수 있을 것이라고 생각을 합니다.

그리고 세 번째 질문은 어제 전체회의, 저희가 위원 전체 구성이 9명인데 7명이 어제 회의를 했습니다. 7명이 회의를 하게 된 어떤 경위는 두 분이 회피를 하셨습니다. 그래서 7명 구성이 됐고요.

두 분이 회피를 한 것은 회피는 아시겠습니다만 당사자가 공정한 판단을 저해할 우려가 있을 것 같다, 라고 스스로 판단을 해서 '저는 회피하겠습니다.'라고 하는 겁니다. 그래서 회피를 스스로 하면 위원회 쪽에서 '왜 회피하시죠?' 이런 걸 판단하는 과정이 없습니다. 그냥 본인이 회피하면 '알겠습니다.' 하고 빠지는 그런 구조고요. 그래서 아무튼 두 분이 회피를 해서 일곱 분이 모여서 어제 회의를 진행했었다.

저희 규정상 의사, 의결정족은 전체 위원의 과반수입니다. 그래서 일곱 분이 모여서 회의를 진행한 것의 어떤 절차적인 정족수 맥락의 문제는 전혀 없었습니다.

그리고 네 번째 질문은 음성데이터 이런 걸 구분해서 과징금 산정 과정에서 고려가 됐냐, 이런 건데 그렇게 고려하지 않았습니다. 이 회사, 해커가 회사 네트워크에 들어와서 여러 네트워크, 여러 시스템에 어떤 악성코드를 심어 놓고 그리고 해커가 여러 시스템을 다닌 흔적이 있었고 또 고시 여러 항목을 위반한 그런 정황이 있었기 때문에 그런 것들을 포함해서 회사 통신서비스 전반, 그중에 5G하고 LTE 영역 관련된 음성데이터 이런 것들을 같이 고려를 했습니다.

<질문> 안녕하세요? 좀 전에 질문에서 상업적 취득 목적이라고 얘기를 하셨던 것 같은데 이번에 과징금이 역대 최대 규모다 보니까 과거 구글하고 메타 사례를 비교한 의견들이 있을 것 같습니다. 그때는 아무래도 개인정보를 고의성으로 수집하기 위한 목적이 있었는데 이번에는 관리의 허술함은 있었지만 사건 자체가 해커에 의해서 외부에서 발생한 사고로 봐야 되는데 이게 좀 과도하다는 의견이 나올 수 있는 것 같은데요. 그에 대한 입장 부탁드립니다.

<답변> (고학수 위원장) 아마 지금 질문 주신 것은 저희 과징금 산정 과정에서 1차 감경, 고시의 그런 내용 관련된 것 같습니다. 그래서 1차 가중 또는 감경 중에 경제적 이익을 취한 것이 있는지 여부가 고려되게 되어 있습니다. 그래서 회사가 해킹사고로 인해서 직접적인 경제적 이득을 취한 부분은 없기 때문에 그 점에서 감경이 된 면이 있습니다.

그리고 다른 한편, 회사 내부에서, 회사 내부 일부 직원들이 '우리가 조금 더 적극적인 투자를 해서 보완해야 될 부분들이 있지 않나?' 이런 내부적인 문제의식이 반영된, 하지만 결론적으로는 또 투자가 충분히 이루어지지 않은 이런 부분들도 있어서 그에 관한 문제의식을 저희가 제기하고 그에 관해서 반영한 부분이 좀 있고요.

구글, 메타의 경우에는 일단 이 과징금 정하는 기준이 되는 관련 고시 자체가 지금 고시하고 전혀 다른 고시였습니다. 그래서 그렇게 지금 1차 가중감경, 거기에 경제적인 이익을, 이득을 취했는지 여부를 고려하는 이런 식의 기준 자체가 그 당시에 아마 다른 형태로 있었을 것이고요. 그래서 직접적인 비교 자체는 어렵고 그래서 그 부분 비교해서 설명하는 것은 쉽지 않다, 그런 말씀드리겠습니다.

그리고 한 가지 보충해서 아까 ISMS-P 의무화 관련된 질문 주셨던 거 관련해서 보완적으로 조금 설명을 드리면 만약에 ISMS-P 의무화하려고 하면 그거는 법률 개정이 필요한 점이 있습니다. 그래서 그거는 향후 논의가 더 필요하고요.

다만, 지금 조만간 발표될 대책에는 '이 SKT 건으로부터 조금 더 직접적으로 문제의식을 얻어서 이동통신 서비스라든가 주요 공공시스템에 대해서는 의무화를 하는 게 필요한가?' 이런 검토는 하고 있다, 그래서 그에 대해서는 지금 내부 논의 중이고 다음, 다음 달에 대책 조금 더 확정적으로 구체화해서 발표할 때 설명드리도록 하겠습니다.

<답변> (사회자) 오랜 시간 동안 브리핑에 참석해 주신 데 대해서 감사드립니다. 이상으로 오늘 브리핑을 마치도록 하겠습니다. 감사합니다.

<답변> (고학수 위원장) 고맙습니다.

<끝>

[출처] 대한민국 정책브리핑(www.korea.kr)

e브리핑

[개인정보보호위원회]개인정보위 제18회 전체회의 결과(25.08.28.)

비밀번호를 입력하세요.