올 상반기 해킹으로 진통을 겪은 SK텔레콤이 결국 역대 최대 규모 과징금 철퇴를 맞았다. 회사는 다툼의 여지가 있을 경우 대응 방안을 검토하겠다는 입장을 내놨다.

개인정보보호위원회(개인정보위)는 SK텔레콤이 개인정보 유출 사고와 관련해 안전 조치와 유출 통지 의무를 제대로 이행하지 않았다며 과징금 1347억9100만원, 과태료 960만원을 부과하기로 했다고 28일 밝혔다. 종전 개인정보위 부과 과징금 최고액인 구글과 메타의 1000억원(2022년)을 넘어섰다.

개인정보위에 따르면 2021년 8월 SK텔레콤 내부망에 처음으로 침투한 해커가 다수 서버에 악성 프로그램을 깔았고, 2022년 6월 통합고객인증시스템(ICAS)에 악성 프로그램을 설치해 추가 거점을 확보했다. 이후 2025년 4월 홈가입자서버(HSS) 데이터베이스에 저장된 이용자의 개인정보 9.82GB를 외부로 유출했다.

개인정보위는 SK텔레콤이 인터넷과 내부망 사이의 보안을 취약한 상태로 운영하고, 계정 정보가 저장된 파일을 암호 설정 없이 두는 등 접근 체계 관리를 소홀히 했던 점을 문제 삼았다. 운영체제 보안 업데이트와 유심(이용자식별모듈) 인증키 암호화 미조치도 해킹의 원인으로 작용했다고 꼬집었다. 법으로 정한 해킹 인지 후 72시간 내 이용자 통지도 이뤄지지 않았다.

SK텔레콤 측은 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영 활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것”이라고 전했다.

다만 SK텔레콤은 고심 끝에 내놓은 사후 조치 방안이 반영되지 않은 것에 강한 아쉬움을 보였다. 회사는 약 7000억원의 정보보호 투자를 비롯해 요금 감면, 데이터 추가 제공, 제휴사 할인 혜택 등 5000억원 규모의 고객 보상 프로그램을 이행 중이다. 업계에서 처음으로 이탈 고객을 대상으로 한시적 위약금 면제를 보장하기도 했다.

SK텔레콤 관계자는 “조사 및 의결 과정에서 당사의 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 “의결서 수령 후 내용을 면밀히 검토해 입장을 정리할 예정”이라고 말했다.

의결서가 도착하기까지 최소 한 달이 소요될 전망인데, 업계는 SK텔레콤이 개인정보위를 상대로 행정 소송에 나설 수도 있다고 보고 있다. 고학수 개인정보위원장은 이날 “회사의 소송 여부를 예단할 상황은 아닌 것 같다”며 “위원회가 할 수 있는 역량을 최대한 발휘했다”고 말했다.

이에 앞서 방송통신위원회 통신분쟁조정위원회는 SK텔레콤이 지난 7월 중순까지였던 해지 고객 위약금 면제 시한을 연말까지로 연장해야 한다는 내용의 직권조정결정을 내리기도 했다. SK텔레콤은 “검토 중”이라고 답했지만, 행정 명령이 아닌 분쟁 조정이라 수락 의무가 없어 대응하지 않을 가능성에 무게가 실리고 있다.

개인정보위의 이번 제재 발표로 SK텔레콤이 불확실성에서 벗어나 긍정적이라는 증권가 평가도 나온다.

김준섭 KB증권 연구원은 “다양한 견해(최대 3000억원 중반대) 대비 과징금이 낮은 수준으로, 우려를 일부 해소할 것으로 예상한다”며 “가입자 증감이나 마케팅 비용 지출 등 무선 사업 펀더멘털에 영향을 미칠 수 있는 요소가 중요한 시기”라고 분석했다.