[뉴스스페이스=조일섭 기자] 개인정보보호위원회가 2025년 8월 28일 SK텔레콤에 부과한 1347억9100만원의 과징금은 국내 개인정보보호법 시행 이래 단일사업자 최대 징계 기록이다.

개인정보위는 이날 보도자료를 통해 SK텔레콤이 2324만4649명의 가입자 개인정보를 유출했고, 휴대전화번호·IMSI·USIM 인증키 등 무려 25개 유형의 정보가 피해 대상이었다고 공식 발표했다. 국내 통신 3사 가입자 총합이 약 5000만명임을 감안하면 인구 절반에 육박하는 전례 없는 대형사고임을 의미한다.

과징금 규모 역대 최고…"글로벌 빅테크 징계와 견줄만"

이전까지 개인정보위가 부과한 최고액은 2022년 구글(692억원)과 메타(308억원) 징계가 합쳐진 1000억원 수준이었다. 이번 SK텔레콤 제재는 단일기업 기준 이 기록을 35% 이상 뛰어넘었다. 이는 역대 국내 빅테크 및 통신사 보안·개인정보 사고 처벌 사례를 압도한다.

글로벌 사례를 보면, 미국에서는 2017년 신용평가사 에퀴팩스(Equifax)가 1억4700만명 개인정보를 유출한 사건으로 7억 달러(약 9280억원)의 합의금을 부담했다. 페이스북(現 메타) 역시 2019년 영국 정보위원회(ICO)로부터 케임브리지 애널리티카 스캔들 관련 5억 달러(약 6600억원) 벌금을 부과받았다.

SKT의 유출 피해 규모(2324만명)는 전 국민적 파급력을 지녀 해외 주요 사례와 비교시 단일 사업자당 피해 규모 못지않은 심각성으로 평가된다.

조사 결과 담긴 구조적 취약점…"암호화·접근통제·사고대응 총체적 미흡"

개인정보위 조사보고서에 따르면 SK텔레콤은 정보보호 기술·관리조치에서 ▲접근통제 미흡 ▲권한관리 소홀 ▲보안업데이트 미실시 ▲유심인증키 평문저장 등 총체적 보안취약점이 드러났다.

더욱 심각한 것은 유출 인지 이후 72시간 이내 이용자 통지 의무(개인정보보호법 제34조)를 제대로 이행하지 않아 정보주체 보호에 실패했다는 점이다. 이 점 역시 글로벌 GDPR 등 해외 데이터 규제의 강력한 처벌 근거가 되는 요소다.

한국 정부, 데이터보안 대책 속도…“대규모 사업자 특단의 관리”

고학수 개인정보위원장은 “이번 사고는 데이터 대행위자들이 보안예산·인력 투입을 ‘투자’가 아니면 생존 불가임을 인식하게 한 계기”라며, 거버넌스 체계 재편 등 재발방지 명령도 부과했다고 밝혔다. 위원회는 이르면 9월 중 대규모 개인정보처리자에 대한 관리·감독 강화 및 중앙정부-현장 협력책 마련 대책을 내놓을 예정이다.

글로벌 데이터사고 교훈…“비용보다 중요한 신뢰와 시스템의 문제”

영국 BBC, 미국 CNET 등 해외 주요 매체들도 최근 몇 년간 데이터 유출사건을 “기업 신뢰 기반 붕괴”, “집단소송 및 기업평가 하락의 트리거”로 반복 경고했다. 유럽 개인정보보호기구(EU GDPR)는 기업들의 정보보호 투자가 미진할 경우 연간 매출의 최대 4%까지 벌금을 부과하고 있다.

국내 전문가들은 “이번 SK텔레콤 제재가 국내 기업의 정보보호 및 대응 프로세스가 글로벌 스탠더드에 미치지 못하고 있음을 드러냈다”고 지적한다. 실제로 금융감독원, 한국인터넷진흥원 등이 2023~2024년만 해도 매년 300건 가까운 크고 작은 개인정보 유출사고 통계를 발표할 정도로 취약점은 구조적이다.

정책 및 산업계 시사점…"보안은 비용 아닌 생존투자"

전문가들은 SK텔레콤 사례가 대한민국은 물론 아시아 전체 데이터거버넌스 정비 신호탄임을 강조한다. 정보주체에 ‘실질 통지’·‘신속 피해구제’가 이뤄질 수 있도록 법제도 전면 재검토와 기업 내부 거버넌스 혁신이 필수라는 얘기다.

즉 개인정보보호는 IT·통신·플랫폼 사업 전 분야의 최우선 리스크 요인이자, 책임경영·지배구조 투명성의 핵심 잣대로 자리잡고 있음을 이번 사고가 증명했다.