SKT 해킹이 불러 온 ‘징벌적 과징금’ 시대
지난주 개인정보보호위원회는 SK텔레콤의 대규모 해킹 및 개인정보 유출 사고 직후, 국민 생활에 직접적 영향을 미치는 정보 관리 사고 재발을 막기 위해 ‘개인정보 안전관리 체계 강화 방안’이라는 종합대책을 공식 발표했습니다. 이번 발표는 그간 반복된 대형 해킹 사고에 대한 기존의 단편적인 땜질식 처방에서 벗어나, 기업들이 체계적으로 개인정보를 선제적으로 보호하도록 유도하는 법적·제도적 혁신의 계기가 되고 있습니다. 징벌적 과징금
징벌적 과징금
SKT 해킹 사건의 개요와 본질
2025년 4월, 국내 1위 이동통신사 SK텔레콤의 유심(USIM) 정보 인증 서버(HSS)에 해커가 침투하여 약 2,300만 명 가입자의 유심 인증정보와 가입자 식별 정보 등이 무단 유출됐습니다. 유출된 데이터는 유심 고유식별번호(ICCID), IMSI, 인증키(KI) 등으로 유심 복제와 2차 금융사기 등 심각한 추가 피해 위험을 내포한 역대급 사태입니다. SKT는 피해 사실을 뒤늦게 신고했고, 유출 정보 항목도 25종 2,700만 건이 넘어 단일 사건 기준 국내 최대 피해로 기록되었습니다.
사고 조사 결과, SKT는 인터넷·관리망·사내망을 동일 네트워크로 연결하다가 외부 접근 방지가 제대로 이루어지지 않았고, 일부 서버는 비밀번호 입력 없이 개인정보 조회가 가능하게 설정되어 있었습니다. 2016년에 공개된 주요 서버의 운영체제 보안 업데이트도 미적용 상태였으며, 유심 인증키 2,600만 건을 암호화하지 않고 저장하는 등 기본적인 보안조치가 미흡했습니다. 또한, 피해 접수 및 이용자 통지도 72시간 내 의무를 지키지 않았다는 점에서 정부는 조사 및 처벌에 강하게 나섰습니다. SKT 사례는 결코 예외적인 일이 아닙니다. 실제로 최근 국내에서는 개인정보 유출 사고가 급속도로 증가하는 추세를 보이고 있습니다.
급증하는 개인정보 유출 사태와 현황
2025년 1~4월, SKT 사건을 포함해 한국 내 개인정보 유출 규모는 3,600만 건으로 전년 대비 3배 가까이 폭증했습니다. 2022년 64만 건, 2023년 1,011만 건, 2024년 1,377만 건에서 올해는 상반기 만에 이미 2024년 전체치를 뛰어넘는 수준에 도달한 것입니다. 특히 유출 신고 건수도 매년 300건대에서 올해 4개월 만에 113건까지 치솟았습니다. 유출 원인은 해킹(56%), 업무상 실수(30%), 시스템 오류(7%), 고의 유출(2%) 등이 복합적으로 작용하며, 다양한 위험요소가 맞물린 환경임을 보여줍니다.
특히 플랫폼·통신사·기업의 보안 허술과 다크웹 거래로 인한 2차 피해(금융사기, 인증정보 도용 등)도 급증하고 있습니다. 이로 인해 이용자 불안을 해소하고 피해자 권리구제가 실질적으로 보장돼야 할 필요성이 그 어느 때보다 강조되고 있습니다.
이러한 반복적 사고와 피해 증가는 기업과 사회가 왜 개인정보 관리를 한층 더 ‘중요한 문제’로 받아들여야 하는지 명확히 보여줍니다.
개인정보 관리가 중요한 이유
- 기업 신뢰도와 브랜드 가치 보호: 개인정보 유출 사고가 발생하면 기업의 이미지와 신뢰도가 심각하게 손상됩니다. 고객들은 개인정보 보호가 잘 되는 기업을 선호하며, 한 번 유출이 발생하면 서비스를 지속적으로 이용하는 데 심각한 거부감과 불신을 갖게 됩니다.
- 2차 피해 및 법적 책임: 개인정보가 외부로 유출되면 피싱과 같은 2차 금융사기, 인증정보 도용 등 추가 피해가 발생할 수 있습니다. 또한 현행법상 기업은 정보 유출 시 징벌적 손해배상, 과징금, 민사 소송 등 재정적·법적 책임을 질 수밖에 없습니다.
- 경영 효율성 및 경쟁력 유지: 개인정보 유출 사건이 터지면 대응을 위해 막대한 자원을 투입해야 하고, 정상 경영에 장애가 됩니다. 그뿐 아니라 고객 이탈과 시장점유율 하락, 경쟁력 약화 등 장기적 피해로 이어집니다.
- 글로벌 규제 및 데이터 주권 대응: GDPR 등 글로벌 규제는 개인정보 관리의 투명성, 안전성, 신속한 사고 통지 등을 의무화하고 있습니다. 국내외 고객과 거래처 모두 개인정보 관리가 제대로 되는 기업에 가치를 두며, 데이터 주권을 지키는 것은 현대 사회 모든 조직의 필수 요건입니다.
징벌적 과징금
개인정보보호위원회 후속대책의 주요 내용과 의미
이번 개인정보보호위원회의 후속 대책은 사후 처벌 중심의 기존 틀을 넘어, 기업이 주도적으로 정보보호에 투자하고 예방적 관리를 실천하도록 유도하는 것이 핵심입니다. 강력한 규제와 더불어 인센티브와 조직 문화 개선까지 아우르는 입체적 변화로, 국내 정보보호 환경 전반에 실질적인 패러다임 전환을 예고합니다.
- 반복 기업에 대한 과징금 가중 및 징벌적 제재: 동일 원인, 동일 기업에서 사고가 반복되면 과징금이 가중되고, 중장기적으로 징벌적 과징금도 도입되어 기업의 재무적 부담이 대폭 상승합니다. 실제로 SKT에는 역대 최대 과징금이 부과되었으며, 위반 금액 일부는 피해자 구제에 직접 연계됩니다.
- 인센티브 중심의 선제적 관리 촉진: 적극적으로 예방·보호 대책을 마련하고 평소 위험 관리를 실천한 기업에는 과징금 감면 등 인센티브를 제공합니다. 개인정보 관리가 단순 비용이 아닌, 전략적 투자로 인식될 수 있도록 정책적 설계가 바뀌었습니다.
- CEO 및 CPO 책임 강화, 조직내 통제 의무화: 기업의 최고경영자(CEO)와 개인정보보호책임자(CPO)의 법적 책임이 대폭 명확화되고, 일정 규모 이상 기업은 정보보호 인증(ISMS-P) 의무화, 전사적 내부 통제 및 최소 정보보호 예산 기준(예산의 10~15%) 등이 도입됩니다.
- 기술적·제도적 보완 및 피해자 보호 강화: 주요 개인정보처리시스템 취약점 제거, 이상징후 탐지와 관리 자동화, 암호화 적용, 피해자 권리구제 실효성, 유출 가능성 있는 이용자까지 통지 대상을 확대하는 제도적 개선이 함께 추진됩니다.
- 사회적 신뢰와 보안 문화의 전환: 기업의 정보보호 문화를 선진적으로 유도하고, 단순 의무 이행이 아닌 ‘예방, 투자, 관리’의 패러다임으로 개인정보 관리가 변화할 계기가 됩니다.
개인정보보호위원회의 후속 조치는 그동안 반복되어 온 대형 유출 사고의 구조적 문제와 제도적 한계를 근본적으로 보완하는 시작점이 될 것으로 전망됩니다. 기업 입장에서는 단순한 법적 준수를 넘어, 정보보호 역량 자체가 시장 신뢰와 사업 성장의 필수 요소임을 다시 한 번 자각하게 됩니다. 정책 시행이 본격화되면 개인정보 보호를 등한시하는 기업은 재정적, 평판적, 법적 측면에서 실질적 불이익을 겪게 되고, 반대로 모범적인 관리 체계를 갖춘 곳은 분명한 경쟁 우위를 확보할 수밖에 없습니다. 또한 신속한 피해자 구제와 기술적·제도적 보완이 병행되면서 국민들은 보다 안전한 데이터 환경과 실질적인 권리 보호를 체감하게 될 것으로 보입니다.
이러한 변화의 흐름 속에서 펜타시큐리티는 현장과 정책의 요구에 맞춘 차별화된 보안 기술을 제공합니다. 펜타시큐리티는 인증 단계에서부터 악의적인 접근을 차단하는 고도화된 인증 보안 솔루션을 비롯해, 데이터가 외부로 유출되더라도 해커가 실제 정보를 해독하거나 사용할 수 없도록 하는 강력한 데이터 암호화 기술을 제공합니다. 또한 실시간 이상행위 탐지, 유연한 권한 분리, 통합 정책 관리 도구 등을 통해 고객 정보가 저장·전달·처리되는 모든 구간에서 위험을 최소화하며, 국내외 규제(GDPR, ISMS-P 등) 준수합니다.
이번 대책은 대한민국이 한 단계 더 높은 정보보호 강국으로 도약하는 밑거름으로, ‘사전 예방’과 ‘지속 성과’ 중심의 미래 정보보호 패러다임을 정착시키는 결정적 계기가 될 것으로 기대됩니다. 펜타시큐리와 함께 한층 더 안전하고 신뢰할 수 있는 보안 환경을 구축하세요.
[관련 페이지]
👉 암호 플랫폼 D.AMO 자세히 알아보기
👉 인증 보안 플랫폼 iSIGN 자세히 알아보기