SKT 고객 개인정보 부실관리 논란…”정보보호 인증제도 실효성 의문”

개인정보보호법, 정부 정보보호 인증 제도 실효성 의문
“보안 최대치 아닌 최소 기준”…SKT, 최소 가이드라인만 지켜

이인애 머니투데이방송 MTN 기자, 2025-05-09 14:25:19

SK텔레콤(SKT) 고객 유심(USIM) 정보 해킹 사고가 발생하면서 지금껏 SKT가 고객 개인정보를 부실하게 관리해온 사실이 드러나 논란이 일고 있다. 최소한의 법적 가이드라인만을 준수하고 추가적인 보안 투자에는 소극적인 태도를 보여왔다는 것이다.

9일 업계에 따르면 SKT는 국내 이동통신 3사 중 유일하게 고객 유심(USIM) 정보를 암호화하지 않고 보관해왔다.

앞서 SKT 홈가입자서버(HSS)가 해킹되면서 전화번호·가입자식별번호(IMSI)·인증키 등 고객 유심 정보 일부가 유출됐다. 크게 문제가 된 것은 해당 정보들이 암호화되지 않은 상태였던 점이다.

■이통3사 중 SKT만 암호화안 해…”장비 성능 문제”

암호화를 적용한 상태라면, 해커가 데이터를 가로채더라도 해당 데이터를 쓸 수가 없다. 해커 입장에서는 쓸모없는 문자 덩어리(암호문)만 얻게 되는 것으로 개인정보 유출이나 신원 도용 등 범죄로 이어지긴 어렵다는 얘기다.

이에 SKT 측은 유심 정보 암호화 관련 법적 의무가 없다는 입장이다.

실제 개인정보보호법 제24조에 따르면 암호화 저장 대상 정보는 비밀번호와 주민등록번호·여권번호·운전면허번호·외국인등록번호 등 고유식별정보로, 유심 정보는 포함되지 않는다.

법적 의무 사항이 아니지만 KT와 LG유플러스는 이전부터 해당 데이터들을 모두 암호화해 저장하고 있었던 것으로 알려지면서 파장은 더욱 커지고 있다.

이에 대해 시민단체 정보화사회실천연합(정실련)은 “개인정보보호법상 암호화 저장 대상 정보에 유심 정보가 없더라도, 통신 서비스의 핵심 데이터에 대한 암호화는 SKT가 자체적으로 판단해 암호화 저장·관리 했어야 한다”고 지적했다.

그러면서 “정보를 암호화해 저장하면 복호화 수행으로 처리 시간이 늘어나지만, 이는 장비 성능을 향상하고 증설하면 해소할 수 있는 문제다”고 전했다.

기술이 부족해서가 아니라 비용을 아끼려다 보니 해당 정보들을 암호화하지 않았다는 지적이다.

(이하 생략)

기사 보기

SKT 고객 개인정보 부실관리 논란…”정보보호 인증제도 실효성 의문”, 머니투데이방송 , 2025-05-09 14:25:19