시큐리티팩트

SK텔레콤 을지로 사옥/사진=SKT 제공

[시큐리티뉴스 김상규 기자] 가입자 2300만여 명의 개인정보 유출 사고로 개인정보보호위원회(이하 개인정보위)로부터 '역대급' 과징금 폭탄을 맞은 SK텔레콤이 결국 정부 처분에 불복해 법정 싸움을 택했다.

19일 관련 업계에 따르면 SK텔레콤은 이날 오후 서울행정법원에 개인정보위의 과징금 부과 처분을 취소해달라는 행정소송 소장을 제출했다. 행정소송법상 제소 기한(처분 통지 후 90일) 만료일인 오는 20일을 단 하루 남겨두고 내린 결정이다.

이번 소송의 발단은 지난해 8월로 거슬러 올라간다. 당시 개인정보위는 SK텔레콤 해킹 사고 조사 결과를 발표하며, 이용자 2324만 4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 민감 정보 25종이 외부로 유출됐다고 공식화했다.

이에 개인정보위는 SK텔레콤의 보안 조치가 미흡했다는 책임을 물어 위원회 설립 이후 단일 기업 대상 최대 규모인 1347억 9100만 원의 과징금을 부과했다. 이는 지난 2022년 구글과 메타가 받았던 합산 과징금 1000억 원을 훌쩍 뛰어넘는 액수로 업계에 큰 파장을 일으켰다.

실제 국내 주요 사례와 비교해도 처분 수위는 압도적이다. 카카오 151억 원(2024. 05), 골프존 75억 원(2024. 05), LG유플러스 68억 원(2023. 07) 등 그간의 고액 과징금 사례들을 모두 압도하는 수치다.

개인정보위가 과징금을 부과하며 지적한 핵심 사유는 '인증 시스템의 구조적 취약성 방치'다. 조사 결과에 따르면 SK텔레콤의 고객 인증 서버 접근 시 다중인증(MFA)이 제대로 작동하지 않았다. 특정 관리자 계정이 공유되어 사용되는 등 접근 제어에 심각한 결함이 있었던 것으로 나타났다. 해커가 단 하나의 계정만 탈취해도 전체 데이터베이스(DB)에 접근할 수 있는 구조였다는 지적이다.

또한, 가입자식별번호(IMSI)와 유심 인증키 등 서비스 제공에 반드시 필요하지 않거나 이미 해지된 고객의 정보까지 과도하게 보유하며 파기 의무를 이행하지 않아 피해 규모를 키웠다는 점도 부과 근거가 됐다.

이에 대해 SK텔레콤 측은 과징금 산정 방식의 부당성과 참작 사유를 강력히 피력할 방침이다. SK텔레콤은 특히 ▲사고 이후 정보보호 혁신 및 보상안 마련에 총 1조 2000억 원의 대규모 자금을 투입한 점 ▲실질적인 금융 피해 사례가 보고되지 않은 점 등을 주요 방어 논리로 내세울 것으로 알려졌다.

아울러 영리 목적으로 개인정보를 무단 활용한 구글·메타 사례와 달리, 해킹 사고의 피해자인 자사에 '전체 매출액의 3%'라는 엄격한 기준을 적용한 것은 형평성 원칙에 어긋난다는 입장이다.

SK텔레콤 측은 "개인정보위의 과징금 처분에 대해 법원의 면밀하고 객관적인 판단을 받아보고자 소송을 제기하게 됐다"고 짧게 입장을 밝혔다.

보안 업계에서도 이번 소송을 주목한다. 이번 소송이 개정 개인정보 보호법의 과징금 산정 원칙을 재정립하는 중대한 분수령이 될 것이기 때문이다. 특히 '사고 예방 미흡'에 대한 책임 범위와 기업 전체 매출액을 기준으로 삼는 산정 방식의 적절성을 두고 법원과 SK텔레콤 간의 치열한 법리 공방이 이어질 전망이다.