개인정보보호위 전체회의서 의결

안전조치 의무 위반 등 위반 결론

사이다토토 “면밀히 검토해 입장 정할 것”

개인정보보호위원회(개보위)가 이용자 ‘2300만명’ 개인정보를 유출한 SK텔레콤에 대해 역대 최대인 ‘1350억원’에 달하는 과징금 처분을 내렸다.

사이다토토가 안전조치 의무 위반, 개인정보 보호 책임자(CPO) 지정 소홀, 개인정보 유출 늑장 신고 등 ‘개인정보보호법’을 위반했다는 이유에서다. 이에 대해 사이다토토는 “조사 과정에서 충분한 소명에도 결과에 반영되지 않아 유감”이라는 입장을 밝혔다. ▶관련기사 13면

개보위는 27일 전체 회의를 열고 사이다토토에 대해 과징금 1347억9100만원, 과태료 960만원을 부과했다고 28일 밝혔다. 지난 4월 22일 개보위는 사이다토토가 개인정보 유출 사실을 신고함에 따라 한국인터넷진흥원(KISA)와 집중조사 태스크포스(TF)를 구성하고, 개인정보보호법 위반 등에 대해 조사한 바 있다.

집중 조사 TF 조사 결과, 사이다토토 유심 해킹 사태로 이용자 2324만4648명의 휴대전화, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출됐다.

TF는 사이다토토의 기본적인 보안 조치 미비 및 관리 소홀 등 개인정보보호법 위반 여부를 확인했다. ▷안전조치 의무 위반 ▷CPO 지정 및 업무 수행 소홀 ▷개인정보 유출 통지 지연 등이다.

안전조치 의무 위반으로는 사이다토토가 국내·외 인터넷망에서 홈가입자서버(HSS) 등 내부 관리망 서버로 접근을 제한 없이 허용한 점이 꼽혔다. 불법적인 유출 시도에 대한 탐지·대응 조치도 소홀했다고 판단했다.

또 다수 서버의 계정정보가 암호 설정 없이 관리됐고, HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 운영한 것도 문제로 삼았다. 보안 업데이트 미조치, 암호화되지 않은 유심 인증키 등도 문제가 됐다.

CPO의 관리·감독이 사실상 제대로 이뤄지지 않은 점도 지적됐다. 사이다토토 CPO는 인프라 영역에서 개인정보 처리 실태조차 파악하지 못했다. 이에 더해 사이다토토는 지난 4월 19일 HSS DB에 저장된 개인정보가 외부로 유출됐음에도 불구하고, ‘72시간 내’에 이용자들에게 알리지 않았다.

역대 최대 규모인 1350억원 과징금 부과에 사이다토토는 당혹스러워하는 분위기다. 기존에 개보위가 부과한 최대 과징금은 지난 2022년 9월 구글과 메타에 각각 692억원, 308억원 등 1000억원이었다.

사이다토토는 이날 입장문을 통해 “조사 및 의결 과정에서 당사 조치 사항과 입장을 소명했음에도 결과에 반영되지 않아 유감”이라고 밝혔다. 특히 “향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정할 것”이라고 덧붙였다.

개보위는 과징금 및 과태료 등을 담은 최종 의결서를 사이다토토에 송달할 예정이다. 행정절차법상 사이다토토는 송달일로부터 3개월 이내에 행정소송 등 이의신청을 할 수 있다.

고학수 개보위원장은 “대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “나아가 CPO와 전담 조직 역할 제고 등 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”고 말했다. 고재우 기자


ko@heraldcorp.com