SK텔레콤, ‘유심 해킹’ 사태로 1348억 과징금… 역대 최대 개인정보보호 제재

[속보]  2300만 명 개인정보 유출, SK텔레콤 1348억 과징금 폭탄   사진=2025 08.28 K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지
[속보]  2300만 명 개인정보 유출, SK텔레콤 1348억 과징금 폭탄   사진=2025 08.28 K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지

[KtN 김상기기자] “2300만 명 개인정보 유출, 통신 보안의 민낯 드러냈다.”
개인정보보호위원회가 SK텔레콤에 역대 최대 규모인 1347억9100만 원의 과징금을 부과했다.
유심(USIM) 핵심 인증키까지 유출된 대규모 해킹 사태로, 정부는 통신사 전반의 보안 체계 개선을 강제하겠다고 밝혔다.
이번 사건은 단순한 기업 보안 사고를 넘어, 통신망 신뢰와 금융·사회 전반에 걸친 개인정보 안전 위기를 드러낸 중대한 분기점이 됐다.

사건 개요: 4년에 걸친 해킹, 2300만 명 피해

2021년 9월부터 2025년 4월까지 해커들은 SK텔레콤 내부 서버에 침투해 악성코드를 심고, 고객의 유심 정보(IMSI·IMEI·Ki 등)를 포함한 개인정보 25종을 빼냈다.
유출 규모는 총 2696만 건, 데이터 용량만 9.82GB에 달한다. 피해자는 알뜰폰 가입자를 포함해 2300만 명이 넘는다.
특히 유심 인증키(Ki)가 함께 유출되면서 유심 복제 가능성이 현실화됐고, 통신 사기·금융 탈취 등 2차 범죄로 번질 수 있다는 우려가 커졌다.

[속보]  2300만 명 개인정보 유출, SK텔레콤 1348억 과징금 폭탄   사진=2025 08.28 개인정보위 영상 갈무리 K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지
[속보]  2300만 명 개인정보 유출, SK텔레콤 1348억 과징금 폭탄   사진=2025 08.28 개인정보위 영상 갈무리 K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지

개인정보위 제재: 역대 최대 규모

28일 개인정보위는 SK텔레콤에 과징금 1347억9100만 원과 과태료 960만 원을 부과했다. 이는 2022년 구글·메타에 부과된 1000억 원을 뛰어넘는 역대 최대 규모다.
조사 결과 SKT는 △방화벽 설정 미흡 △계정정보(ID/PW) 관리 부실 △데이터 암호화 미실시 △악성코드 탐지·차단 소홀 등 기본 보안조치를 소홀히 한 것으로 드러났다.
또 2022년 특정 서버에서 악성코드 감염을 인지했음에도 한국인터넷진흥원(KISA)에 신고하지 않았고, 올해 4월 침해 사실을 파악하고도 24시간 내 신고 의무를 어겼다.

과징금 산정 방식: ‘관련 매출’만 기준

개인정보위는 법상 매출의 3% 이내에서 과징금을 산정할 수 있다. SK텔레콤 무선통신사업 매출(약 12조7700억 원)을 기준으로 하면 최대 3831억 원까지 가능했다.
그러나 이번에는 “위반행위와 직접 관련 없는 매출”을 제외하고 LTE·5G 등 통신 관련 매출만 반영했다. 법인(B2B) 매출이나 미디어·커머스 등 타 사업부 매출은 제외됐다.
고학수 개인정보위 위원장은 “법적 근거에 따른 합리적 산정이며, 기업에 강력한 경각심을 줄 수준”이라고 설명했다.

[속보]  2300만 명 개인정보 유출, SK텔레콤 1348억 과징금 폭탄   사진=2025 08.28 K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지
[속보]  2300만 명 개인정보 유출, SK텔레콤 1348억 과징금 폭탄   사진=2025 08.28 (지난 5월 2일) SK텔레콤 유영상 대표는 “신규 영업을 당분간 중단하고 고객들의 유심 교체 업무에 전념하겠다”고 밝혔다.) K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지

SKT의 대응과 허점

SK텔레콤은 해킹 사실을 인지한 뒤 전 고객을 대상으로 무상 유심 교체를 실시하고, ‘유심 보호 서비스’를 긴급 도입했다.
그러나 고객 통지 지연과 신고 지연, 내부 비밀번호 장기 미변경 등으로 인해 “사고 후 땜질 대응”이라는 비판이 제기됐다.
특히 2022년 악성코드 감염을 발견했음에도 내부 판별 절차를 이유로 당국 신고를 늦춘 사실은 ‘기업 책임 회피’ 논란을 키웠다.

2차 피해 가능성: 현실적 위험

Ki와 IMSI가 함께 유출되면 유심 복제가 가능하다. 현재까지 공식적으로 피해 접수 사례는 없지만, 잠재 위험은 여전하다.
정부와 통신업계는 긴급 차단 조치로 복제 가능성을 낮췄지만, 이용자 불안은 쉽게 가라앉지 않고 있다.
통신망 인증 우회가 가능해질 경우, 금융·메신저 계정 탈취, 명의 도용, 스미싱 범죄로 이어질 수 있다는 점에서 사회적 파급력은 매우 크다.

SKT, 신규 가입 전면 중단…“유심 교체·보호서비스 자동 가입 전환”  “유심 먼저 교체” SK텔레콤, 신규 가입 중단하고 기존 고객 집중 사진=2025 05.02  SK텔레콤 유영상 대표는 “신규 영업을 당분간 중단하고 고객들의 유심 교체 업무에 전념하겠다”고 밝혔다.   K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지
SKT, 신규 가입 전면 중단…“유심 교체·보호서비스 자동 가입 전환”  “유심 먼저 교체” SK텔레콤, 신규 가입 중단하고 기존 고객 집중 사진=2025 05.02  SK텔레콤 유영상 대표는 “신규 영업을 당분간 중단하고 고객들의 유심 교체 업무에 전념하겠다”고 밝혔다.   K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지

정부의 재발방지 대책

개인정보위는 SK텔레콤에 3개월 내 재발방지 대책 수립 및 보고를 명령했다. 또한 ISMS-P(정보보호·개인정보보호 관리체계) 인증 취득을 의무화할 예정이다.
나아가 내달 ‘개인정보 안전관리체계 강화 종합대책’을 발표해, 대규모 사업자의 보안 투자 확대를 유도하고, 제도 개선과 인센티브 개편을 병행한다는 방침이다.
이는 자율 규제 중심이던 통신사 보안 관리가 정부 주도 관리·감독 체계로 전환되는 신호탄이 될 것으로 전망된다.

피해자 보호와 이용자 조치

정부와 통신 3사는 전 고객을 대상으로 무상 유심 교체를 진행 중이며, ‘유심 보호 서비스’도 무료 제공하고 있다.
이용자들은 △유심 비밀번호 설정 △명의도용방지서비스 가입 △이상 금융거래 모니터링 △2단계 인증 강화 등으로 2차 피해를 막을 수 있다.
특히 알뜰폰 이용자 역시 별도로 유심 보호 서비스를 신청해야 하므로 주의가 필요하다.

사건의 의미와 파장

이번 SK텔레콤 유심 해킹 사태는 개인정보보호법 제정 이후 가장 심각한 사례로 꼽힌다.
보안 관리 부실로 인한 대규모 개인정보 유출은 “통신망 안전은 곧 국가 안보”라는 경각심을 일깨운다.
1348억 원의 과징금은 단순 처벌이 아니라, 국내 통신·ICT 산업 전반에 보안 투자 확대와 제도 개편을 강제하는 전환점이 될 전망이다.

관련기사

키워드

#SK텔레콤
저작권자 © KtN (K trendy NEWS) 무단전재 및 재배포 금지