유영상 SK텔레콤 대표이사가 정부의 해킹 사태 관련 최종 조사 결과가 발표된 7월 4일 서울 중구 SKT타워에서 열린 해킹 사태 관련 입장 및 향후 계획 발표 기자회견에서 고개숙여 사과하고 있다. 연합뉴스

해킹 사고로 고객 정보를 탈취당한 SK텔레콤이 유심인증키를 암호화하지 않았던 것으로 확인됐다. GU유플러스는 2011년부터, KT는 2014년부터 유심인증키를 암호화하고 있었고 SK는 이를 인지하고 있었지만 손을 놓고 있었던 것이다.

개인정보보호위원회는 보안 소홀로 2300여만명의 디지털 개인정보를 유출한 SK텔레콤에 대해 1347억9100만원의 과징금과 960만원의 과태료를 부과키로 했다고 밝히면서, 태스크포스를 꾸려 진행한 조사 결과를 28일 함께 공개했다. 개인정보위는 지난 4월22일 SK텔레콤의 해킹 신고 이후 3개월간 개인정보 유출 사실관계와 개인정보보호법 위반 여부를 중점 조사해왔다.

조사 결과에 따르면, SK텔레콤은 유심인증키(Ki) 2614만4363건을 암호화하지 않고 있었다. 유심인증키는 유출되면 ‘유심 복제’에 사용될 수 있어 보안이 가장 철저해야 할 개인정보에 해당한다.

SK텔레콤과 달리 타 이동통신사는 유신인증키를 암호화해 관리하고 있었다. LG유플러스는 2011년부터, KT는 2014년부터 유심키를 암호화해 저장하고 있었다.

SK텔레콤은 최소 3년 전 타 이동통신사의 유심키 암호화 사실을 인지하고 있었으나, 평문 저장을 유지했다. 개인정보위는 “SK텔레콤이 2022년 언론에서 유심 복제 등의 이슈가 제기됨에 따라 암호화 조치를 검토하면서 타 통신사가 유심 인증키를 암호화하여 저장하고 있음을 확인했다”면서 “그럼에도 조치를 하지 않아 유출 피해를 예방하지 못한 사실이 확인됐다”고 말했다.

유심인증키 평문 저장만이 문제가 아니었다. SK텔레콤의 보안은 “꽤 오랜 기간 허술한 상태”(고학수 개인정보위원장)였다.

SK텔레콤은 인터넷망과 운영·관리망, 핵심 네트워크인 코어망, 사내망을 동일한 네트워크로 연결해 운영했다. 국내외 인터넷망에서 SK텔레콤 내부 관리망은 물론 핵심 서버인 HSS(가입자 이동통신망 접속을 위한 인증시스템)까지 접속할 수 있었다.

또한 ID·비밀번호 4899개의 계정정보 파일이 암호 설정 없이 관리망 서버에 저장돼 있었고, HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보조회가 가능했다.

해커가 악성프로그램 설치에 활용한 운영체제 역시 보안이 헐거웠다. 해당 운영체제는 2016년에 보안 경보가 발령돼 보안 패치가 공개돼 있었으나 SK텔레콤은 이를 인지하고 있었음에도 보안 조치 없이 설치했다. 그후 올해 4월 해킹 사고를 당할때까지도 보안 업데이트를 실시하지 않았다. 각종 상용 백신 프로그램은 2020년 즈음부터 해당 운영체제의 취약점을 탐지해 안내하고 있었지만, SK텔레콤은 이 같은 백신 프로그램도 설치하지 않았다.

SK텔레콤의 조직 체계 또한 보안에 취약한 것으로 나타났다. SK텔레콤은 IT 영역과 통신 영역에서 모두 개인정보를 처리함에도 개인정보 보호 책임자(CPO)의 역할은 IT 영역에 국한돼 있었다. 개인정보위는 “이번 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이뤄지지 않은 것으로 확인됐다”고 설명했다.