개인정보보호 법규 위반행위에 대한 시정조치에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 시정조치를 명한다. 피심인은 국민 생활에 밀접한 이동통신 서비스를 제공하는 기간통신사업자로서 개인정보 보호 강화 및 유출 사고 재발 방지를 위하여, 가. 개인정보 처리 현황을 면밀히 파악하여 이동통신망 내 개인정보처리시스템에 대한 불법적인 접근 가능 경로 및 취약점 등 침해사고 위험 요소를 사전에 분석ㆍ차단하는 등 안전조치를 강화할 것 나. 회사 전반의 개인정보 처리 업무를 총괄하도록, 안전조치를 포함한 개인정보 보호법 준수에 대한 개인정보 보호책임자의 책임과 역할을 명확히 정립하고 개인정보 보호에 필요한 조치가 충실히 이행될 수 있도록 거버넌스 체계를 구축 및 정비할 것 다. 개인정보 처리 전 과정에서 안전조치가 준수될 수 있도록 수탁자(협력사, 대리점ㆍ판매점 등)에 대한 강화된 관리ㆍ감독 체계를 마련하고 이행할 것 라. 개인정보 유출 및 피심인의 미흡한 대응 등으로 정보주체 및 사회 전반, 국가적으로 피해가 발생한바, 사회경제적 손실을 회복하고 이동통신 서비스의 신뢰를 회복할 수 있도록 개인정보 보호 강화를 위한 노력을 다할 것 마. 피심인은 가.부터 라.까지의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분 통지를 받은 날로부터 90일 이내에 이행 결과를 개인정보보호위원회에 제출하여야 한다. 2. 피심인에 대하여 다음과 같이 과징금, 과태료를 부과한다. 가. 과 징 금 : 134,791,000,000원 나. 과 태 료 : 9,600,000원 다. 납부기한 : 고지서에 명시된 납부기한 이내 라. 납부장소 : 한국은행 국고수납 대리점 3. 피심인에 대한 개선권고, 시정조치 명령, 과징금 및 과태료 부과의 내용 및 결과를 개인정보보호위원회 홈페이지에 1년 간 공표한다. 4. 피심인의 법 위반 내용 및 처분 결과를 피심인 홈페이지에 공표명령한다. 가. 피심인은 처분 등에 대한 통지를 받은 날부터 1개월 이내 당해 처분 등을 받은 사실 등을 피심인의 홈페이지(모바일 어플리케이션 포함)의 초기화면 팝업창에 전체화면의 6분의1 크기로 5일 이상 7일 미만 기간 동안(휴업일 포함) 게시할 것 나. 피심인은 원칙적으로 표준 공표 문안을 따르되, 공표 문안에 관하여 개인정보보호위원회와 미리 문서로 협의하고, 글자크기ㆍ모양ㆍ색상 등에 대해서는 해당 홈페이지 특성을 고려하여 개인정보보호위원회와 협의하여 정할 것 5. 피심인에 대하여 다음과 같이 개선을 권고한다.

가. 피심인은 개인정보 보호 관리체계(ISMS-P) 인증 범위를 이동통신 인프라 영역으로 확대하여, 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고할 것 나. 피심인은 이동통신 인프라 영역 전반에 대해서도 실질적으로 적용될 수 있는 내부 관리계획을 수립ㆍ시행 및 점검할 것 다. 피심인은 가상 데스크톱 인프라( ) 운영과 관련하여, 개인정보취급자의 접근권한 및 접속기록 등 관리 실태를 점검 및 개선할 것 라. 피심인은 가., 나., 다.의 개선권고 통지를 받은 날로부터 90일 이내에 조치 결과를 개인정보보호위원회에 제출하여야 한다.

이유

Ⅰ. 기초 사실 피심인은 이동통신 서비스 등을 제공하는 「개인정보 보호법」개인정보 보호법(법률 제19234호, 2023. 3. 14. 일부개정, 2023. 9. 15. 시행)(이하 '보호법’)에 따른 개인정보처리자에 해당하며, 피심인의 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=158164257" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 피심인이 신원 미상의 자(이하 '해커’)에 의해 대용량 데이터가 외부로 전송된 사실을 인지하고 유출 신고('25. 4. 22.)해옴에 따라, 개인정보 취급ㆍ운영 실태 및 보호법 위반 여부를 조사('25. 4. 22. ~ '25. 7. 31.)하였으며, 다음과 같은 사실을 확인하였다. 2. 피심인 현황 가. 개인정보 수집 현황 피심인은 이동통신 서비스를 제공하면서 자료제출일(’25. 5. 7.) 기준, 다음과 같이 이용자의 개인정보를 수집하여 보관하고 있다. <img src="/LSW/flDownload.do?flSeq=158164279" alt="2번째 이미지"></img> 특히, ’25. 4. 18. 개인정보 유출(이하 '이 사건 유출’)이 발생한 시스템인 HSS의 경우, 피심인 이용자(알뜰폰 포함)의 휴대전화번호, 국제모바일가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25개 개인정보( 건)이 저장되어 있었다. 나. 이동통신 서비스의 개인정보 처리 흐름 <img src="/LSW/flDownload.do?flSeq=158164301" alt="3번째 이미지"></img> 이용자가 이동통신 서비스 가입 및 개인정보(가입신청서 등)를 제공하면, 피심인은 해당 이용자의 개인정보 등을 가입ㆍ개통 관리 시스템( )에 저장한다. 시스템은 이용자가 사용할 휴대전화번호(Mobile Directory Number, MDN) 및 국제모바일가입자식별번호(International Mobile Subscriber Identity, IMSI)를 생성ㆍ부여하고, 피심인은 이를 이용자 유심카드에 저장한다. 피심인은 유심카드에 저장한 정보(휴대전화번호, IMSI 등)를 시스템( )는 피심인이 유심카드 제조업체로부터 납품받은 유심카드 정보( )를 등록ㆍ관리하고 있다.( ) 및 홈가입자인증서버(Home Subscriber Server, HSS)에 동기화 한다.

이후, 에 저장된 유심 인증키(Ki)는 HSS에 동기화되며, 이용자 단말과 HSS에 저장된 IMSI 및 Ki를 상호 인증하여 이동통신 서비스를 제공한다. 다. 사건 당시 조직 구성 및 네트워크 운영 현황 1) 조직 운영 현황 피심인은 개 와 개 로 조직을 구성하고 있고, 시스템 및 등 웹ㆍ앱 서비스(IT 영역)는 , HSS 등 코어망 서버 및 등 관리망 서버 등 이동통신망 시스템(인프라 영역)은 에서 담당ㆍ관리한다. 피심인은 (IT 영역)와 (인프라 영역)를 분리하여 보안 조직을 운영하고 있으며, 각 센터는 담당 영역 내에서만 보안 업무를 담당 및 수행하고 있다. (IT 영역 보안) 내 정보보호실 실장이 정보보호책임자(CISO)와 개인정보 보호책임자(CPO)를 겸임하고, 정보보안 업무는 이, 보호법 관련 컴플라이언스 업무는 이 각각 수행하고 있다. (인프라 영역 보안) 코어망 및 관리망 등에 대한 이동통신망 시스템의 정보보안 업무는 에서 수행하나, 보호법 관련 컴플라이언스 역할ㆍ책임 및 업무 수행은 미흡한 상황이었다. 특히, 피심인은 인프라 영역 내 시스템에서 처리되는 개인정보 및 개인정보 처리시스템 현황을 파악하지 않고 있어, 보호법 상 안전조치의무 관련 준수 여부 등도 검토가 되지 않은바, 피심인이 개인정보 보호를 위해 수립한 내부 관리계획은 이동통신망을 관리하고 이동통신 가입자 인증 등 핵심 역할을 하는 인프라 영역에는 적용되지 않았다피심인이 통신 인프라 보안을 위해 자체 마련하여 수립한 내부 규정( ) 미준수 사실도 확인되었다. (내부규정 내 OS 방화벽, 서버접근, 유휴서버 관리, IP대역 분리, 보안진단 관련 사항 미준수). 2) 네트워크 및 시스템 운영 현황 (코어망) 이동통신 서비스의 이용자 및 단말기 인증ㆍ관리, 통화 연결, 데이터 전송 및 과금 산정 등을 담당하는 핵심 네트워크로, LTEㆍ5G 등 네트워크에서 가입자 정보(IMSI, 휴대전화번호, 유심 인증키 등)를 저장하고 인증ㆍ접속 관리를 수행하는 HSS 시스템 등 다수의 시스템등이 저장된 ' 시스템’( , ) 및 '실시간 과금 및 시스템’( , ) 등이 포함되어 있다.이 존재한다.

(관리망) 이동통신 네트워크 모니터링(장애 감지, 통화 및 서비스 품질 분석 등)을 담당하는 운영ㆍ관리 네트워크로 중계기 원격 제어, 모니터링, 장애 알람, 통계/로그 분석 등을 수행하는 시스템( , ), 네트워크 설정 및 성능 통계 분석 등을 모니터링하는 시스템( , ), 이동통신망에서 발생하는 발신자, 수신자, 통화/세션 시간 등 시스템( , ) 등이 존재한다. (OA망) 피심인 및 협력사 임직원 등이 코어망 및 관리망 등에 접속하기 위한 PC 등이 존재하며, 외부 인터넷 접속이 가능하다. 라. 개인정보 유출 관련 사실관계 1) 개인정보 유출 내용 < 홈가입자인증서버(HSS) > (유출 규모) 피심인의 이용자(알뜰폰* 이용자 포함) 23,244,649명의 개인정보 * 피심인의 이동통신망을 사용하여, 이동통신서비스를 제공하는 사업자(알뜰폰 사업자) 해커가 악성프로그램이 설치된 HSS( ) DB에서 피심인의 이용자 개인정보를 조회 및 생성하여 전송한 전송한 파일(약 9.82GB) 내 휴대전화번호ㆍIMSI를 기준으로 유출 규모를 약 2,696만 건으로 확인하였으나, 그 중 법인ㆍ공공회선, 다회선, 기타회선 등을 제외한 정보주체 수로 산정하였다. (유출 항목) 휴대전화번호, 국제모바일가입자식별번호(IMSI), 유심 인증키, 기타 이용자 통신 관련 정보 등 총 25종의 개인정보 <img src="/LSW/flDownload.do?flSeq=158164323" alt="4번째 이미지"></img>기타 이용자 통신 관련 정보(21종) 세부 내용은 피심인 제출자료 참고< 고객관리망서버(ICAS) > 피심인의 이용자 이름, 생년월일, 주소, 휴대전화번호(약 건), IMEI(약 건) 등이 저장ICAS망 서버에 보관된 약 간 로그파일(약 개) 기준으로 산정하였다.된 ICAS망 서버( 대)가 악성프로그램에 감염('22. 6월)된 사실을 확인하였다. ICAS망 서버 로그 보존 기간( )에는 외부로 대량 데이터 전송 이력은 존재하지 않았으나, 그 외 기간( )은 피심인이 로그를 보관하지 않아 확인이 불가하다. 2) 악성프로그램 감염 및 개인정보 유출 경위 < (1) 초기 침투 및 감염 확산(’21. 8월 ~) >

(초기 침투) 해커는 인터넷과 연결( IP 대역)된 관리망 내 서버로 접속하였고, 타 서버로 침투인근 서버로 침투하기 위한 네트워크 스캔( 이용한 사용 여부 확인)하기 위해 다양한 기능이 포함된 악성프로그램원격제어, 백도어 기능 등이 포함된 오픈소스 악성코드인 등이 설치된 사실이 확인된다.을 설치('21. 8. 6.)하였다. (계정정보 확보) 관리망 내 서버에 관리망 내 다른 서버에 접속할 수 있는 공용 계정정보( )가 평문으로 저장되어 있어, 해커는 다른 서버들의 공용 계정 정보를 확보할 수 있었고, 해당 공용 계정정보를 사용하고 있는 관리망 내 및 서버'21.12월 해커가 서버를 통해 HSS 서버로 공격 시도 및 성공한 로그가 확인된다.에 악성프로그램이 설치되었다. <img src="/LSW/flDownload.do?flSeq=158164343" alt="5번째 이미지"></img> 해당 관리망 내 , 서버에는 관리망 및 코어망 내 다수 서버의 접속 계정정보(ID/PW)가 기록된 다수의 파일이 저장되어 있었고, 해당 파일들에는 최소 개 서버, 개의 계정정보(ID/PW)가 평문으로 저장되어 있었다. <img src="/LSW/flDownload.do?flSeq=158164345" alt="6번째 이미지"></img> (OS 취약점 활용/악성프로그램 설치) 해커는 관리망 내 서버에서 확보한 계정( )으로 코어망 내 HSS 에 접속하여, 리눅스 운영체제(OS)의 권한 상승 취약점리눅스 운영체제(OS)의 일반 계정을 이용해 관리자 권한(root)을 획득할 수 있는 보안 취약점이다.(DirtyCOW, CVE-2016-5195)을 이용해 관리자 권한을 획득(’21.12.24.)하고 악성프로그램(BPFDoor)을 설치('21.12.30.)하였다. <img src="/LSW/flDownload.do?flSeq=158164347" alt="7번째 이미지"></img> (HSS DB 감염) 해커는 피심인이 보안진단 목적으로 설치한 프로그램( )의 원격접근 취약점특정 명령어를 통해 별도의 인증 절차 없이 가 설치된 서버에 원격 접근이 가능한 취약점이다.을 이용해 HSS DB에 접속하였고, DirtyCOW 취약점으로 관리자 권한을 획득(’21.12.24.)하여 악성프로그램해커는 코어망ㆍ관리망 총 28대 서버에 33개의 악성프로그램을 설치하였다.을 설치('21.12.28.~)하였다.

<img src="/LSW/flDownload.do?flSeq=158164349" alt="8번째 이미지"></img> < (2) 고객관리망(ICAS) 추가 거점 확보(’22. 6월 ~) > (ICAS망 현황) DB 서버에서 이용자 가입 상태, 상품 조회 등 API 요청ㆍ처리를 위한 ( ) ( , , )가 있으며, 이동통신 서비스 가입 시 이용자가 제공하는 개인정보(이름, 성별, 생년월일, 주소, 휴대전화번호, IMEI 등 개 항목)가 API 로그약 /일( 개 파일 생성), 자동 스크립트를 통해 일 단위 압축 저장(약 ), 약 간 보관(약 개 로그파일)형태로 기록ㆍ보관되어 있다. (감염 경위) 해커는 고객관리망(ICAS) 내 서버( 대)에 접근하여, '22. 6. 15. OS 취약점(DirtyCOW)을 통해 권한 상승 및 악성프로그램BPFDoor 이외에 웹서버에 명령을 실행하는 웹셸도 추가 설치된 것으로(BPFDoor)을 설치하였다. ICAS망 서버의 OS 취약점(DirtyCOW)과 이를 이용해 악성프로그램(BPFDoor)을 설치한 방식이 HSS 유출사고와 유사한 것으로 확인하였다. <img src="/LSW/flDownload.do?flSeq=158164351" alt="9번째 이미지"></img> (관리망 통신) ICAS망 서버는 개인정보 유출 당일을 포함하여 수차례(’25. 2. 17., 2. 18., 4. 18.) 인프라 영역의 관리망 내 서버와 통신HSS에서의 이 사건 유출 당시 해커가 ICAS망 내 서버와 통신한 것으로 보아, 해커는 관리망을 통해 ICAS망으로 접근한 것으로 추정되나, 피심인이 보유한 로그(’24.12월~'25.4월)에는 대량 데이터의 외부 전송은 확인되지 않았다.한 이력을 확인하였다. <img src="/LSW/flDownload.do?flSeq=158164259" alt="10번째 이미지"></img> < (3) HSS 서버, 개인정보 유출(’25. 4. 18.) > (관리망 접근) 해커는 외부에서 공인 IP( IP 대역)를 사용하는 관리망 내 서버( )에 접속(13:45) 및 관리망 내 서버( )에 접속(13:46)하였다.

(원격 명령/HSS DB 접근) 해커는 관리망 내 서버서버는 하나의 서버에 여러 개의 네트워크 인터페이스 카드를 설치하여, 대역, 대역, 대역 IP를 모두 사용하고 있다.( )에서 HSS( )의 BPFDoor를 통해 역방향 접속(리버스커넥션)하여 명령어 전달을 시작(13:46~)하였다. <img src="/LSW/flDownload.do?flSeq=158164261" alt="11번째 이미지"></img> (개인정보 조회ㆍ추출) 해커는 HSS DB( )에 저장된 개인정보를 조회( ) 및 파일( )로 추출(13:54~14:54)하였다. 해커는 舊 버전피심인은 ’24. 5월 마스킹 해제가 되지 않도록 DBMS를 업데이트 했으나, 舊 버전을 삭제하지 않고 그대로 방치하여, 해커가 舊 버전을 악용하였다,의 DBMS 접속 프로그램( )의 기능파일을 참조할 경우 인증수단(비밀번호) 없이 DB 명령어 실행이 가능하다.을 악용하여, DBMS 접속 또는 비밀번호 입력 없이 DBMS 내 유심 인증키(Ki, OPc) 2종의 마스킹 상태를 변경(Invisible→Visible)하였다. <img src="/LSW/flDownload.do?flSeq=158164263" alt="12번째 이미지"></img> 해커는 최신 버전의 DBMS 접속 프로그램( )으로 HSS DB에 저장된 유심 인증키의 마스킹 해제 여부를 확인하였다. <img src="/LSW/flDownload.do?flSeq=158164265" alt="13번째 이미지"></img> 해커는 HSS DB 내 개인정보를 조회 및 추출하였다. <img src="/LSW/flDownload.do?flSeq=158164267" alt="14번째 이미지"></img> 해커는 HSS DB에 저장된 유심 인증키의 마스킹 상태를 원복(Visible→Invisible)하였다. <img src="/LSW/flDownload.do?flSeq=158164269" alt="15번째 이미지"></img> (개인정보 파일 압축) 해커는 HSS DB에서 조회ㆍ추출한 개인정보 파일을 외부로 전송하기 위해 압축 파일( )로 생성(14:05~15:13)하였다. <img src="/LSW/flDownload.do?flSeq=158164271" alt="16번째 이미지"></img>

(개인정보 파일 유출) 해커는 서버( )에서 HSS( )에 BPFDoor를 통해 역방향 접속하여 압축한 개인정보 파일(9.82GB)을 해커의 ( ) 서버( )로 전송(14:52~15:36)하였다. <img src="/LSW/flDownload.do?flSeq=158164273" alt="17번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=158164275" alt="18번째 이미지"></img> (개인정보 파일 등 삭제) 해커는 자신의 공격 행위를 감추기 위해 로그인 시간 변경ㆍ삭제, DB 로그 및 개인정보 파일 등을 삭제삭제된 파일 및 DB 로그 등은 포렌식을 통해 서버의 비할당 영역에서 복구하였다.하였다. 3) 유출 인지 및 대응 <img src="/LSW/flDownload.do?flSeq=158164277" alt="19번째 이미지"></img> 3. 개인정보의 취급ㆍ운영 관련 사실관계 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 1) 접근통제를 위한 안전조치를 소홀히 한 행위 피심인은 관리망 내 다수 서버에 멀티인터페이스 설정하나의 서버에 여러 개의 네트워크 인터페이스 카드(NIC)를 부착하여 여러 IP 대역을 부여하였다.을 통해 인터넷ㆍ코어ㆍOA망 간 IP 대역을 함께 부여하여, 서로 다른 망 간 동일한 네트워크로 연결되도록 구성ㆍ운영하였다. <img src="/LSW/flDownload.do?flSeq=158164281" alt="20번째 이미지"></img> 피심인은 공인 IP를 사용하는 서버에 대한 외부 접속은 피심인이 직접 운영하여 IP를 할당ㆍ관리하는 국내 중계기피심인은 국내 중계기 IP 대역 약 개(약 대), 포트를 사용하고 있었다.에서만 가능토록 제한하여야 하나, 해외 IP를 포함한 모든 IP에서 서버의 외 다수 포트로도 접속 할 수 있도록 방화벽 정책을 허용’ 년 이전 서비스를 서버로 통합하면서 그 이전에 열어놓은 포트( 등 다수 )가 그대로 유지되고 있었다.하였다. <img src="/LSW/flDownload.do?flSeq=158164283" alt="21번째 이미지"></img>

또한, 피심인은 IP 대역이 부여된 모든 관리망 서버피심인은 해커가 악성프로그램을 설치한 , , 등을 포함한 관리망 서버( 대)에서 HSS 서버로 접근할 수 있도록 IP 대역을 부여하였다.와 IP 대역이 부여된 모든 코어망 서버(HSS 포함) 간 양방향 접속이 가능하도록 방화벽 정책을 허용하였다. <img src="/LSW/flDownload.do?flSeq=158164285" alt="22번째 이미지"></img> 아울러, 피심인은 , 등 인터넷 접속이 불필요한 관리망( IP 대역) 서버피심인은 해커가 악성프로그램을 설치한 , , 등을 포함한 다수의 관리망 서버에서 OA망(외부)으로 접근할 수 있도록 IP 대역을 부여하였다.에서 외부 인터넷이 상시 연결된 OA망 접근을 제한하지 않고 방화벽 정책을 허용하였다. <img src="/LSW/flDownload.do?flSeq=158164287" alt="23번째 이미지"></img> 한편, 피심인은 DirtyCOW 보안 취약점을 통해 내부 서버 하나를 탈취한 후 직접 접속이 가능한 취약한 서버를 추가로 탈취하는 시도를 차단하기 위해 보안 강화가 필요하다고 언급하면서, 해당 보안 취약점 관련 HSS 서버가 존재하는 코어망 내 서버에 대한 피해 최소화 조치로써 서버 간 직접 접속 방식인 포트를 제한할 것을 내부 권고하였으나, 피심인은 상용 시스템 수가 많고, 개별적으로 확인ㆍ적용하는 것이 현장에 상당한 부담이 될 수 있다는 등의 이유로 HSS 서버에 대한 OS 방화벽( )도 적용하지 않았다. 피심인은 인터넷 접속이 불필요한 관리망 서버에서 인터넷 접속이 가능토록 허용등 관리망 서버는 외부 인터넷 연결이 불필요하였다.한 상황에서, 관리망에서 발생한 이상행위 등을 탐지하고 대응하기 위한 조치도 소홀히 하였다. 특히, 피심인이 도입한 침입 탐지 장비에서는 특정 항목등 항목 중에서 으로 분류되는 로그만 알람이 뜨도록 설정하였다.만 이상행위 여부를 확인하고 있고, OA망 내 직원 PC의 인터넷 접속과 구분약 의 데이터 외부 전송 알람( )이 떴음에도, 관제 담당자는 별도의 확인 절차 없이, 이상행위가 아닌 것으로 판단하여 자체 종결하였다.하여 이상행위를 점검하고 있지 않았다.

또, 피심인은 , , 등 악성프로그램이 설치된 관리망 서버에 해커의 인터넷을 통한 주기적인 접근ㆍ통신초기 침투경로인 서버는 ’25. 4. 18. 유출사고 당시 주기적으로 2분마다 IP와 통신하였다., DNS 대량 조회로그가 존재하는 간 일평균 약 회, 총 회 DNS 대량 조회 행위가 확인되었다.등의 이상행위를 발견하지 못하였다. <img src="/LSW/flDownload.do?flSeq=158164289" alt="24번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=158164291" alt="25번째 이미지"></img> 심지어, 피심인은 이 사건 유출 발생 이전인 '22년 2월 관리망 서버에 이상 현상(재부팅)이 발생하여 관리망 서버( 등)의 악성프로그램 감염 사실, OS 취약점( ) 악용, 해커의 코어망 서버 접속 성공(HSS 등) 및 접속 시도(HSS ) 등 침해사고 발생을 인지했음에도, 당시 인지된 취약점 및 악성프로그램을 점검하는 것 외에 해커의 공격 도구, 외부와의 비정상 통신, 별도 방화벽 설정의 적절성, 추가 악성프로그램 감염 여부 등을 점검하지 않았다. 2) 개인정보취급자의 접근권한을 안전하게 관리하지 않은 행위 피심인은 기 접속한 서버에서 을 통해 관리망ㆍ코어망 등 타 서버에 직접 접속하려는 경우 접속하려는 서버의 계정정보(ID/PW) 입력이 필요한데, 피심인은 협력사 직원 등이 서버 작업 등 업무를 수행할 때 서버 접속 편의를 위해 관리망ㆍ코어망 내 다수 서버(최소 개)의 계정정보(ID/PW 최소 개)가 평문으로 기록된 파일을 관리망 서버 대( , )에 암호 설정조차 없이 그대로 저장ㆍ관리하고 있었다. <img src="/LSW/flDownload.do?flSeq=158164293" alt="26번째 이미지"></img> 해당 서버( )에 저장된 계정정보HSS 는 해당 계정정보를 '20.6.3부터 '22.2.24.까지 사용하였으며, '22.2.24. 비밀번호 변경을 마지막으로 유출사고 발생 시까지 추가 변경되지 않았다.에는 해커가 HSS DB와 연동된 HSS 관리서버( )에 접속 및 악성프로그램을 설치하기 위해 사용한 계정정보도 포함되어 있었다. <img src="/LSW/flDownload.do?flSeq=158164295" alt="27번째 이미지"></img>

또한, 피심인은 HSS에서 작업 편의를 위해 DBMS에 접속하지 않고 비밀번호 인증절차 없이도, HSS DB 내 정보를 조회 및 파일로 생성할 수 있는 기능을 운영하였고, 실제 해커는 해당 기능을 통해 인증절차 없이 HSS DB 내 개인정보를 조회ㆍ추출하였다. <img src="/LSW/flDownload.do?flSeq=158164297" alt="28번째 이미지"></img> 3) 운영체제 보안 업데이트 미실시 및 백신 등 보안 프로그램 미설치 행위 이번 사고에서 해커의 악성프로그램(BPFDoor) 감염에 활용된 리눅스 운영체제 보안 취약점(DirtyCOW, CVE-2016-5195)은 '16. 10월 보안 패치가 공개되었고, 한국인터넷진흥원(KISA)도 ’16. 10. 21. 해당 취약점을 통해 인가되지 않은 사용자가 루트 권한 등을 획득할 수 있으므로 보안 업데이트를 실시할 것을 보호나라에 공지하였다. <img src="/LSW/flDownload.do?flSeq=158164299" alt="29번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=158164303" alt="30번째 이미지"></img> 피심인도 '16. 10. 24. 당시 관제 업무 수탁사로부터 DirtyCOW 취약점 조치 권고를 받아 해당 취약점과 조치 내용에 대해서 인지하고 있었다. 그럼에도 불구하고, 피심인은 ’16. 11월 해당 보안 취약점이 존재하는 운영체제를 HSS( )를 포함한 다수 서버에 설치하였고, 당시 취약한 운영체제를 설치할 때 보안 취약점에 대해 별도의 검토, 점검 조치는 하지 않았다. <img src="/LSW/flDownload.do?flSeq=158164305" alt="31번째 이미지"></img> 이후, 피심인은 '25. 4월 유출 사고 발생 당시까지 HSS 등 취약한 운영체제 서버에 대해 보안 업데이트를 실시하지 않았다. 특히, 이번 해킹 공격에 사용된 악성프로그램(DirtyCOW)을 실행하는 경우 서버에 생성되는 파일(악용 흔적)은 약 9년 전에 외부에 공개된 것으로 'DirtyCOW’ 문자열 및 소(Cow) 문자열 아트가 포함되어 있어 탐지가 매우 용이하며, 최소 ’20년부터 각종 백신에서 탐지되고 있었으나, 피심인은 '25. 4월 유출 사고 발생 당시까지 백신 등 보안 프로그램을 설치하지 않은 것이다.

<img src="/LSW/flDownload.do?flSeq=158164307" alt="32번째 이미지"></img> 4) 유심 인증키(Ki) 암호화 조치 없이, DB 내 평문 저장ㆍ관리한 행위 피심인은 '12. 8월부터 이동통신 서비스에 가입ㆍ개통한 이용자의 유심 인증키(Ki 값 건, ’25. 4. 18. 기준)를 HSS DB 등에 암호화 조치 없이 평문으로 저장ㆍ관리하였다. <img src="/LSW/flDownload.do?flSeq=158164309" alt="33번째 이미지"></img> ※ 피심인은 가상 데스크톱 인프라( ) 관련, 접근권한 및 접속기록 관리 미흡 사실도 존재 나. 개인정보 보호책임자의 지정 등을 소홀히 한 행위 피심인은 이용자 가입ㆍ개통 및 웹ㆍ앱 서비스(IT 영역)과 HSS 시스템 등 코어망 및 관리망(인프라 영역)을 분리하여 보안 조직을 운영하면서, IT 영역 외 인프라 영역의 보안 및 보호법 관련 컴플라이언스에 대해 개인정보 보호책임자의 역할과 책임이 미흡피심인은 ’25. 4월 유출사고 발생 당시 인프라 영역에서 처리되는 개인정보 및 개인정보처리시스템 현황조차 파악하고 있지 않았다.한 체계로 구성하고 있었다. 특히, 피심인이 개인정보 보호를 위해 수립한 내부 관리계획은 개인정보 보호책임자(CPO)가 속한 조직( )의 에서 수립ㆍ시행 및 점검 업무를 수행하는데, 해당 내부 관리계획은 IT 영역만을 포함하고, 이동통신망을 관리하고 이동통신 가입자 인증 등 핵심 역할을 하는 통신 인프라 영역에는 적용되지 않았다. 피심인은 개인정보 처리방침에 IMSI(가입자고유식별번호), IMEI(단말기식별번호) 등을 개인정보 항목으로 명시하고 있으나, 개인정보 보호책임자는 이를 처리하는 인프라 영역을 포함하여 개인정보 보호 계획을 수립하지 않고, 그 처리 실태조차 파악ㆍ관리하고 있지 않았고, '25. 4월 이후 개인정보보호위원회의 조사과정에서야 이동통신망 내 개인정보 처리시스템 현황을 확인하기 시작하였다. 특히, '22. 10월 ISMS 인증심사 당시 코어망의 개인정보 처리 관련 결함을 지적받았음에도, 코어망에서의 유출 등을 방지하기 위한 내부통제시스템 등을 검토ㆍ보완하지 않았다.

이번 유출사고 원인 중 하나인 방화벽 정책도 ISMS 인증심사 당시 결함으로 지적되었으나, 피심인의 개인정보 보호책임자는 지적된 결함과 관련하여 보호법 준수 여부에 대해서는 검토하지 않았다피심인은 ISMS 인증심사 당시 보호법 상 컴플라이언스 검토 없이 위험을 수용한바 있다.. 다. 개인정보 유출 통지를 지연한 행위 피심인은 ’25. 4. 18. 13:50 장비를 통해 서버에서 외부 서버로 대용량 데이터 전송 기록을 탐지한 후, 약 4시간이 지난 18:09 해당 사실을 내부 전파하였다. <img src="/LSW/flDownload.do?flSeq=158164311" alt="34번째 이미지"></img> 이후, 피심인은 ’25. 4. 18. 23:20 인가받지 않은 자의 비정상적인 데이터 전송 사실 확인 및 '25. 4. 19. 23:40 HSS DB에 저장된 데이터가 외부로 전송된 사실을 인지하여, ’25. 4. 22. 10:02 유출 신고를 실시하였다. 그러나, 피심인은 2025. 5. 2. 개인정보보호위원회의 긴급의결이 있은 이후에도 '25. 5. 9.에 이르러서야 전체 이용자 유출 “가능성”만 통지하였고, '25. 7. 28.부터 유출된 이용자 개별 유출 “확정” 통지를 실시하였다. 4. 처분의 사전통지 및 의견수렴 개인정보보호위원회는 '25. 7. 31. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 ’25. 8. 21. 개인정보보호위원회에 의견을 제출하였다. Ⅲ. 위법성 판단 1. 관련법 규정 가. 보호법 제29조는 “개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.”라고 규정하고 있다.

같은 법 시행령개인정보 보호법 시행령(대통령령 제35343호, 2025. 2. 25. 일부개정, 2025. 3. 13. 시행)(이하 '시행령’) 제30조제1항제2호는 “개인정보에 대한 개인정보에 대한 접근 권한을 제한하기 위한 '데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 ”개인정보처리시스템“이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행(가목)’, '정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영(나목)’, '그 밖에 개인정보에 대한 접근 권한을 제한하기 위하여 필요한 조치(다목)’의 조치를 해야 한다고”라고 규정하고 있다. 시행령 제30조제1항제3호는 “개인정보에 대한 접근을 통제하기 위한 '개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치(가목)’의 조치를 해야 한다”라고 규정하고 있다. 시행령 제30조제1항제4호는 “개인정보를 안전하게 저장ㆍ전송하는데 필요한 '비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치’를 해야 한다”라고 규정하고 있다. 시행령 제30조제1항제6호는 “개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치를 해야 한다”라고 규정하고 있다. 한편, 시행령 제30조제3항에 따라 안전성 확보조치에 관한 세부 기준을 구체적으로 정하고 있는 「개인정보의 안전성 확보조치 기준개인정보의 안전성 확보조치 기준(개인정보보호위원회고시 제2023-6호, 2023. 9. 22. 시행)」(이하 '안전성 확보조치 기준’) 제5조제5항은 “개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.”라고 규정하고 있다. 안전성 확보조치 기준 제6조제1항은 “개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 '개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한(1호)’, '개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응(2호)’의 안전조치를 하여야 한다.”라고 규정하고 있다.

안전성 확보조치 기준 제7조제1항은 “개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장 또는 정보통신망을 통하여 송ㆍ수신하는 경우에 이를 안전한 암호 알고리즘으로 암호화하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.”라고 규정하고 있다. 안전성 확보조치 기준 제9조제1항은 “개인정보처리자는 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영하여야 하며, '프로그램의 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트를 실시하는 등 최신의 상태로 유지(1호)’, '발견된 악성프로그램 등에 대해 삭제 등 대응 조치(2호)’의 사항을 준수하여야 한다.”라고 규정하고 있고, 제9조제2항은 “개인정보처리자는 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 정당한 사유가 없는 한 즉시 이에 따른 업데이트 등을 실시하여야 한다.”라고 규정하고 있다. 나. 보호법 제31조제1항은 “개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다.”라고 규정하고 있고, 제31조제3항은 “개인정보 보호책임자는 '개인정보 보호 계획의 수립 및 시행(1호)’, '개인정보 처리 실태 및 관행의 정기적인 조사 및 개선(2호)’, '개인정보 처리와 관련한 불만의 처리 및 피해 구제(3호)’, '개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축(4호)’, '개인정보 보호 교육 계획의 수립 및 시행(5호)’, '개인정보파일의 보호 및 관리ㆍ감독(6호)’, '그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무(7호)’의 업무를 수행한다”라고 규정하고 있다.

다. 보호법 제34조제1항은 “개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 ”유출등“이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 '유출등이 된 개인정보 항목(1호)’, '유출등이 된 시점과 그 경위(2호)’, '유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보(3호)’, '개인정보처리자의 대응조치 및 피해 구제절차(4호)’, '정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처(5호)’의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.”라고 규정하고 있다.

시행령 제39조제1항은 “개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조 및 제40조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 서면등의 방법으로 72시간 이내에 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, '유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출등이 된 개인정보의 회수ㆍ삭제 등 긴급한 조치가 필요한 경우(1호)’, '천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 통지하기 곤란한 경우(2호)’의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다.“라고 규정하고 있고, 제39조제2항은 ”제1항에도 불구하고 개인정보처리자는 같은 항에 따른 통지를 하려는 경우로서 법 제34조제1항제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및 같은 항 제3호부터 제5호까지의 사항을 서면등의 방법으로 우선 통지해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지해야 한다.“라고 규정하고 있고, 제39조제3항은 ”제1항 및 제2항에도 불구하고 개인정보처리자는 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 법 제34조제1항 각 호 외의 부분 단서에 따라 같은 항 각 호의 사항을 정보주체가 쉽게 알 수 있도록 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다.“라고 규정하고 있다. 2. 위법성 판단 가. 개인정보 안전성 확보에 필요한 조치를 소홀히 한 행위 [보호법 제29조(안전조치의무)] 1) 접근통제를 위한 안전조치를 소홀히 한 행위

피심인은 외부에서 해커의 개인정보처리시스템에 대한 불법적인 접근 및 침해사고를 방지하기 위하여, 개인정보처리시스템에 대한 접속 권한을 IP 주소 등IP주소 등에는 IP주소, 포트 그 자체뿐만 아니라, 이상행위(부적절한 명령어 등 패킷 등)를 포함한다.으로 제한하여 인가받지 않은 접근을 제한하도록 해야 하고, 개인정보처리시스템에 접속한 IP 주소, 포트(Port) 등을 분석하여 불법적인 유출 시도를 탐지하고 접근 제한ㆍ차단 등 적절한 대응 조치침입 차단ㆍ탐지 정책 설정, 이상행위 대응, 로그 대조ㆍ분석 등을 통해 유출 탐지ㆍ대응 조치 등이 있다.를 하여야 한다. <img src="/LSW/flDownload.do?flSeq=158164313" alt="35번째 이미지"></img> 그러나, 피심인은 관리망 내 다수 서버에 여러 개의 네트워크 인터페이스 카드(NIC)를 부착하여 인터넷ㆍ코어ㆍOA망 IP 대역을 공유하는 등 사실상 망 구분 없이 혼용하여 운영하고 있는 상황에서, 기 설정된 방화벽 정책에서 관리ㆍ코어망 내 서버(HSS 등 개인정보처리시스템 포함)에 접속할 수 있는 IP와 포트에 대해 실제 접속 필요성 등 방화벽 설정의 적절성에 대한 점검 등 조치 없이 관리ㆍ코어ㆍOA망 서버 간 네트워크 및 OS 방화벽 정책 등을 통해 HSS 등 개인정보처리시스템에 대한 접속 권한을 IP 주소, 포트 등으로 제한하지 않아, 해커는 외부 인터넷망에서 코어망 서버까지 접속할 수 있었고 코어망 HSS DB에서 외부 인터넷망으로 개인정보를 전송한바, 이러한 피심인의 행위는 보호법 제29조, 시행령 제30조제1항제3호, 안전성 확보조치 기준 제6조제1항제1호를 위반한 것이다. 또한, 피심인은 관리망 내 다수 서버에서 코어망 내 개인정보처리시스템인 HSS 등과 상시 외부 인터넷이 연결되어 있는 OA망에 접속할 수 있는 IP 대역을 함께 공유하면서, IP 주소, 포트(Port), 로그 등 대조ㆍ분석을 통한 개인정보 유출 시도 등 이상 행위를 탐지ㆍ대응하기 위한 침입탐지 정책 설정, 정책 검토 등 조치를 소홀히 하였다.

특히, 피심인은 '22. 2월 해커가 관리망 서버에 악성프로그램을 설치하고 코어망의 HSS 서버에 접속한 사실을 확인하였음에도, 비정상 통신 여부, 추가 악성프로그램 설치 여부 등을 점검하지 않았고, 정보통신망법에 따른 침해사고 신고도 하지 않아피심인은 위 '22. 2월 침해사고 당시 舊 정보통신망 이용촉진 및 정보보호 등에 관한 법률(’22.6.10. 법률 제18871호로 개정되기 전의 법률) 제48조의3제1항의 침해사고 신고의무를 이행하지 아니한 것으로 확인되었다.이번 유출 사고를 사전에 방지할 기회도 상실하였다. 이러한 피심인의 행위는 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응하였다고 보기 어려운바, 보호법 제29조, 시행령 제30조제1항제3호, 안전성 확보조치 기준 제6조제1항제2호를 위반한 것이다. 2) 접근권한을 안전하게 관리하지 않은 행위 피심인은 정당한 권한을 가진 개인정보취급자를 인증하기 위해 개인정보처리시스템 등에 비밀번호 등 인증수단을 안전하게 적용ㆍ관리하여야 하고, 정당한 접근 권한을 갖지 않은 자가 쉽게 추출하거나 탈취하는 등 비인가자가 접근을 시도하기 어렵도록 적용ㆍ관리하여야 한다. 특히, HSS 서버는 약 2,300만 명의 휴대전화번호, IMSI, 유심 인증키 등의 개인정보를 보유하고 가입자 인증 등에 활용되는 개인정보처리시스템인바, 피심인이 HSS 서버를 통하여 처리하는 정보의 중요성에 비추어 볼 때, 더욱 강화된 안전조치가 고려되어야 한다. 그러나, 피심인은 코어망ㆍ관리망 내 약 개 서버의 약 개의 계정정보를 관리망 서버( 대)에 보관하면서 권한 없는 자에게 탈취되지 않도록 암호 설정 등 최소한의 안전조치도 하지 않았고, 별도의 인증절차 없이 개인정보가 포함된 HSS DB에 접근 및 데이터 조회가 가능토록 허용하여, 실제 해커가 평문 저장된 계정정보를 활용하여 관리망ㆍ코어망 내 서버에 접속해커가 코어망 내 HSS에 접근하기 위해 최초 접속한 HSS 의 경우, 서버에 저장된 계정정보( )가 사용되었다.및 악성프로그램을 설치함과 동시에 HSS DB 내 개인정보를 조회ㆍ추출하였다. 이러한, 피심인의 행위는 보호법 제29조, 시행령 제30조제1항제2호, 안전성 확보조치 기준 제5조제5항을 위반한 것이다. 3) 운영체제 보안 업데이트 미실시 및 백신 등 보안 프로그램 미설치 행위

개인정보처리자는 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영하여야 하며, 해당 보안 프로그램 설치 대상은 컴퓨터의 종류(업무용 PC, 서버 등), 운영체제(윈도우, 리눅스 등), 인터넷 연결 여부 및 PC 사용자(일반 직원 또는 개인정보취급자 등), 서버가 처리하는 정보(개인정보처리시스템 여부) 등도 구분하고 있지 않다. 개인정보처리자가 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있는 등의 기능이 포함된 보안 프로그램은 백신만을 의미하지 않으므로, 개인정보처리자는 악성프로그램을 통해 개인정보가 위ㆍ변조 또는 유출되지 않도록 목적과 기능에 따라 개인정보처리자 스스로의 시스템 환경에 맞는 보안 프로그램을 설치ㆍ운영하여야 한다. 이 사건 유출이 발생한 피심인의 HSS 서버에 설치되어 있는 리눅스 운영체제는 대용량 서버 운용을 위해 전 세계적으로 널리 사용되는 대표적인 운영체제 중 하나로, 해당 운영체제에서 악성프로그램 감염 사례가 다수 발생하는 만큼 이에 대응하기 위한 백신 등 보안 프로그램이 다수 출시되어 있고, 피심인은 스스로의 시스템 환경에 맞는 보안 프로그램을 설치ㆍ운영할 여지가 충분히 있었다. 또한, 이 사건 유출에 사용된 DirtyCOW 보안 취약점의 경우 본 건 유출사고 발생 9년 전에 이미 공개되었고, 늦어도 '20년부터 각종 백신에서 해당 취약점을 실행하는 경우 서버에서 생성되는 파일을 탐지'DirtyCow’ 문자열 및 소(Cow) 문자열 아트가 포함되어 탐지가 매우 용이하다.하고 있어, 피심인은 해커가 HSS 등 다수 시스템에 악성프로그램(BPFDoor)을 설치하기 전 이상행위를 충분히 발견하여 사고를 사전에 방지할 수 있었다. <img src="/LSW/flDownload.do?flSeq=158164315" alt="36번째 이미지"></img> 그러나, 피심인은 '25. 4월 유출사고 발생 당시 관리망 및 코어망 서버에 악성프로그램 등을 방지ㆍ치료할 수 있는 어떠한 보안 프로그램도 설치하지 않았다.

관리망 서버의 경우, 인터넷 접점이 다수 존재하므로 보안 프로그램 설치를 통한 악성프로그램 방지가 필수적으로 요구되고, 이동통신 서비스에서 코어망 서버와 장비 모니터링 등 부수적인 기능을 담당하고 있어, 서비스 장애 발생 등으로 인한 위험도가 낮아 백신 등 보안 프로그램 설치도 가능한 것으로 판단된다. 코어망 서버의 경우, 이동통신 서비스의 핵심 역할을 담당하여 백신 설치 시 서비스 장애 발생 등으로 인한 위험이 있고, 인터넷 차단 환경으로 상대적인 백신 설치 필요성이 낮다고 할 수 있더라도, 최소한 백신 등 보안 프로그램 미설치 시 악성프로그램 등을 방지ㆍ치료하기 위한 스크립트 도구 점검 등 대체할 수 있는 보안 조치는 필요하다. 그러나, 피심인은 이번 해커의 침투 및 유출 경로로 활용된 관리망 및 코어망내 서버에 대하여 백신 등 보안 프로그램을 설치하지 않음과 동시에 백신 등 보안 프로그램 설치로 인한 영향도 분석조차 하지 않았고, 이를 대체하는 스크립트 점검실제, 피심인의 프로세스 점검 도구에서 BPF도어 프로세스( )가 탐지되었으나, 정상 프로세스 대조군이 없어 해당 프로세스의 비정상 여부를 판단하지 못하였다.등 조치도 소홀히 하였다. 이러한 피심인의 행위는 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영했다고 볼 수 없으므로 보호법 제29조, 시행령 제30조제1항제6호, 안전성 확보조치 기준 제9조제1항을 위반한 것이다. 또한, 개인정보처리자는 운영체제(OS)의 보안 취약점을 악용하는 악성프로그램 경보가 발령되거나, 사용 중인 응용 프로그램이나 운영체제 소프트웨어 제작업체의 보안 업데이트 공지가 있는 경우에는 악성프로그램의 감염을 예방하고 감염된 경우 피해를 최소화하기 위해 정당한 사유'정당한 사유가 없는 한 즉시’란 현재 운영 중인 응용프로그램과의 업무 연속성, 시스템에 미칠 영향 등을 고려하여 적용하기까지 소요되는 합리적인 시간을 의미한다.(「개인정보의 안전성 확보조치 기준 안내서(’24.10.)」 p.96 참조)가 없는 한 즉시 업데이트를 실시하여야 한다. 이번 유출 사고에 활용된 리눅스 OS 취약점(DirtyCOW)은 일반(로컬) 권한을 관리자(root) 권한으로 상승시킬 수 있는 심각도가 높은 보안 취약점으로 약 9년 전('16. 10월) 보안 경보 발령 및 보안 패치가 공개되었다.

피심인도 ’16. 10. 24. 무렵 해당 취약점의 내용과 보안 업데이트 조치 필요성에 대해서 이미 인지하고 있었다. <img src="/LSW/flDownload.do?flSeq=158164317" alt="37번째 이미지"></img> 그러나, 피심인은 별도 점검이나 조치 없이 '16. 11월 취약한 운영체제를 설치하였고, 약 3년 6개월이 지난 ’20. 5월까지 해당 보안 취약점에 대한 점검과 검토조차 실시하지 않았다. 피심인은 '20. 5월이 되어서야 보안 취약점이 존재하는 리눅스 서버 현황을 파악하였고, ’20. 9월 HSS 시스템에 대한 취약점 조치 비용으로 ( )을 산출하였으나, 오픈소스 OS 전환 계획('21. 1월) 및 서버 교체 계획(’21. 9월)에 따른 비용 발생 등을 이유로 '25. 4월 유출사고 발생 당시까지 보안 업데이트를 실시하지 않았다. <img src="/LSW/flDownload.do?flSeq=158164319" alt="38번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=158164321" alt="39번째 이미지"></img> 심지어, 비용 발생 등 이유로 취약점 조치가 당장 어려운 경우, 피해 최소화 조치인 서버 간 직접 접속( )을 제한하는 것을 검토하였으나, 시스템이 많아 업무에 부담이 된다는 등의 이유로 조치하지 않았다. <img src="/LSW/flDownload.do?flSeq=158164325" alt="40번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=158164327" alt="41번째 이미지"></img> 이는, 피심인이 운영체제의 보안 업데이트가 공지되었음에도 정당한 사유 없이 업데이트를 실시하지 않은 것으로 보호법 제29조, 시행령 제30조제1항제6호, 안전성 확보조치 기준 제9조제2항을 위반한 것이다. 4) 유심 인증키(Ki) 암호화 조치 없이, DB 내 평문 저장ㆍ관리한 행위 개인정보처리자는 비밀번호 등 인증정보개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보를 말한다.(개인정보의 안전성 확보조치 기준 제2조제11호)를 데이터베이스(DB) 등에 저장하는 경우에는 안전한 암호 알고리즘으로 암호화하여야 한다.

피심인은 이용자가 이동통신 서비스 가입 및 개통 시 HSS에 IMSI, Ki 등 정보를 저장하고, 이용자 단말과 HSS 간 IMSI, Ki의 상호 인증을 통해 정당한 이용자를 식별하고 이동통신 서비스를 제공하므로, 유심 인증키(Ki)는 개인정보처리시스템인 HSS에 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보인 인증정보에 해당하고, 피심인은 인증정보인 유심 인증키(Ki)를 안전한 암호 알고리즘으로 암호화하여 HSS에 저장하여야 한다. 피심인은 '22년 언론에서 심스와핑, 심복제 등 이슈가 제기됨에 따라, ’23. 7월 유심 인증키 암호화를 검토하였으며, 내부 논의 과정에서도 타 통신사( )의 유심 인증키 암호화 사실을 인지는 ’11년, 는 14년부터 Ki를 암호화하여 저장ㆍ관리하고 있었고, 세계이동통신사업자협회(GSMA)도 Ki가 평문으로 취급(노출)되지 않도록 암호화하여 저장토록 권고하고 있다.하고 있었다. 그럼에도 불구하고, 피심인은 '23. 11월이 되어서야 유심 인증키 암호화 사업을 추진하였으나, 서버 교체 사업 진행 등을 이유로 ’25. 4월 유출 당시까지 유심 인증키(Ki) 암호화 조치를 하지 않은 행위는 보호법 제29조, 시행령 제30조제1항제4호, 안전성 확보조치 기준 제7조제1항을 위반한 것이다. 나. 개인정보 보호책임자의 지정 등을 소홀히 한 행위 [보호법 제31조(개인정보 보호책임자의 지정 등)제1항 및 제3항] 피심인은 이용자 가입ㆍ개통 및 웹ㆍ앱 서비스(IT 영역)과 HSS 시스템 등 코어망 및 관리망(인프라 영역)을 분리하여 보안 조직을 운영하면서, IT 영역 외 인프라 영역의 보안 및 보호법 관련 컴플라이언스에 대해 CPO의 역할ㆍ책임이 없는 체계로 구성하였다. 이는, 피심인이 통신 인프라 영역을 포함하여 사실상 개인정보 처리에 관한 업무를 총괄하는 개인정보 보호책임자를 지정했다고 볼 수 없으므로 보호법 제31조제1항을 위반한 것이다. 또, 피심인은 개인정보 처리방침에 IMSI(가입자고유식별번호), IMEI(단말기식별번호) 등을 개인정보 항목으로 명시하고 있으나, CPO는 이를 처리하는 인프라 영역을 포함하여 개인정보 보호 계획을 수립하지 않고, 그 처리 실태조차 파악ㆍ관리하지 않았고, ※ 피심인의 CPO 및 인프라 영역 보안ㆍ운용 담당자는 위원회 조사과정에서야 이동통신망 내 개인정보 처리시스템 현황을 파악하기 시작함

특히, '22. 10월 ISMS 인증심사 당시 코어망의 개인정보 처리 관련 결함을 지적받았음에도, CPO는 코어망에서의 유출 등을 방지하기 위한 내부통제시스템을 검토ㆍ보완하지 않았다. 이는, 피심인의 CPO가 개인정보보호계획의 수립ㆍ시행, 개인정보 처리 실태ㆍ관행 조사ㆍ개선, 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템 구축 등 업무를 태만하였거나, 거버넌스 구조상 업무를 할 수 없었던 것으로 보호법 제31조제3항을 위반한 것이다. 다. 개인정보 유출 통지를 지연한 행위 [보호법 제34조(개인정보 유출 등의 통지ㆍ신고)제1항] 보호법은 개인정보 유출 피해를 사전에 방지하고 정보주체로 하여금 유출 피해에 대응할 수 있도록 하기 위해, “유출 되었음을 알게 된 때”에는 지체 없이 72시간 이내에 유출 항목, 시점, 경위, 피해 최소화 방법, 피해 구제절차 등을 정보주체에게 통지하도록 의무를 부과하고 있다. 다만, ’추가 유출 등을 방지하기 위하여 긴급한 조치가 필요한 경우'나 ’천재지변이나 그 밖의 부득이한 사유가 있는 경우'에는 그 사유가 해소된 후 지체 없이 통지해야 한다. 피심인은 '25. 4. 19. 23:40 HSS DB에 저장된 데이터가 관리망 서버인 을 통해 외부로 전송된 사실을 확인하여 개인정보 유출 사실을 인지하였으나, 그럼에도 불구하고 지체 없이 72시간 이내에 이용자에 통지 의무를 이행하지 아니하였다. 이에 대해, 피심인은 민관합동조사단의 조사가 진행 중이라는 이유로 유출된 이용자 대상 개인정보 유출 통지를 하지 않았다고 하는데, 이는 보호법과 그 시행령이 열거하고 있는 정당한 사유에 해당하지 않는다. 피심인은 위원회가 ’25. 5. 2. 긴급 의결을 하자 '25. 5. 9. 전체 이용자에게 유출 “가능성”을 통지하였고, ’25. 7. 28.에 이르러서야 유출된 이용자 대상으로 하여 유출 “확정” 통지를 실시하였는데, 이러한 피심인의 행위는 보호법 제34조제1항을 위반한 것이다. 이에 관하여, 피심인은 '25. 5. 9. 유출 “가능성”에 대하여 통지하였으며, ’25. 7. 4. 민관합동조사단의 최종 발표 시점이 되어서야 개인정보 유출 사실을 확정적으로 인지했다고 주장하나, 최소한 피심인은 ’25. 4. 20. ~ 4. 25.에는 해커가 HSS DB에서 개인정보를 추출ㆍ압축한 파일을 복원하여 유출된 이용자 대상과 규모를 특정하고 있었으므로 피심인의 주장은 사실이 아니다.

<img src="/LSW/flDownload.do?flSeq=158164329" alt="42번째 이미지"></img> Ⅳ. 처분 및 결정 1. 과징금 부과 피심인의 보호법 제29조(안전조치의무) 위반행위에 대해 같은 법 제64조의2제1항제9호, 시행령 제60조의2 [별표 1의5] 및「개인정보보호 법규 위반에 대한 과징금 부과기준개인정보 보호법 위반에 대한 과징금 부과기준(개인정보보호위원회 고시 제2023-3호, 2023. 9. 15. 시행)」(이하 '과징금 부과기준’)에 따라 다음과 같이 부과한다. 가. 과징금 상한액 피심인의 보호법 제29조 위반에 대한 과징금 상한액은 같은 법 제64조의2제1항, 시행령 제60조의2에 따라 위반행위가 있었던 사업연도 직전 3개 사업연도의 연평균 매출액의 100분의 3을 초과하지 아니하는 범위에서 부과할 수 있다. 나. 기준금액 1) 중대성의 판단 과징금 부과기준 제8조제1항은 “시행령 [별표 1의5] 2. 가. 1) 및 2)에 따른 위반행위의 중대성의 정도는 [별표] 위반행위의 중대성 판단기준을 기준으로 정한다.”라고 규정하고 있다. [별표] 위반행위의 중대성 판단기준에 따르면 “위반행위의 중대성의 정도는 고려사항별 부과기준을 종합적으로 고려하여 판단’하고, '고려사항별 부과수준 중 두 가지 이상에 해당하는 경우에는 높은 부과수준을 적용한다.’라고 규정하고 있으며, '고려사항별 부과수준의 판단기준은 ▲(고의ㆍ과실) 위반행위의 목적, 동기, 당해 행위에 이른 경위, 영리 목적의 유무 등을 종합적으로 고려, ▲(위반행위의 방법) 안전성 확보 조치 이행 노력 여부, 개인정보 보호책임자 등 개인정보 보호 조직, 위반행위가 내부에서 조직적으로 이루어졌는지 여부, 사업주, 대표자 또는 임원의 책임ㆍ관여 여부 등을 종합적으로 고려하고, 개인정보가 유출등이 된 경우에는 개인정보의 유출등과 안전성 확보 조치 위반행위와의 관련성을 포함하여 판단, ▲(위반행위로 인한 정보주체의 피해 규모 및 정보주체에게 미치는 영향) 피해 개인정보의 규모, 위반기간, 정보주체의 권리ㆍ이익이나 사생활 등에 미치는 영향 등을 종합적으로 고려하고, 개인정보가 유출등이 된 경우에는 유출등의 규모 및 공중에 노출되었는지 여부를 포함하여 판단한다.”라고 규정하고 있다.

피심인의 고의ㆍ과실, 위반행위의 방법, 처리하는 개인정보의 유형, 정보주체의 피해 규모 및 정보주체에게 미치는 영향 등을 종합적으로 고려하여, 위반행위의 중대성을 ’매우 중대한 위반행위'로 판단한다. 3) 기준금액 산출 과징금 부과기준 제6조제1항은 '기준금액은 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액에 부과기준율을 곱한 금액으로 정한다’라고 규정하고 있다. 과징금 부과기준 제7조제2항은 '시행령 제60조의2제1항 단서에서 정한 직전 3개 사업연도 또는 해당사업연도는 위반행위의 종료일을 기준으로 판정한다’라고 규정하고 있다. 피심인의 경우, 과징금 부과기준 제7조제3항에 따라 위반행위와 관련이 없는 매출액은 이번 사고를 통해 개인정보가 유출되지 않은 법인 회선 매출액, 공공 회선 매출액 및 3G 서비스 매출액 등과 유선 재판매 수익, 하드웨어ㆍ솔루션 판매 수익 등 이동통신 서비스와 관련이 없는 기타 매출액인 천 원으로 하고, 직전 3개 사업년도의 연평균 전체 매출액에서 관련 없는 매출액을 제외한 천 원에 시행령 [별표 1의5] 2. 가. 1)에 따른 '매우 중대한 위반행위’의 부과기준율 1천분의 를 적용하여 기준금액을 천 원으로 한다. <img src="/LSW/flDownload.do?flSeq=158164331" alt="43번째 이미지"></img> ※ 피심인이 제출한 회계자료를 토대로 작성 <img src="/LSW/flDownload.do?flSeq=158164333" alt="44번째 이미지"></img> 다. 1차 조정 과징금 부과기준 제9조에 따라 '피심인의 위반행위의 기간이 2년을 초과하는 경우’에 해당하여, 기준금액의 100분의 50에 해당하는 천 원을 가중하고, 피심인이 '위반행위로 인하여 경제적ㆍ비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮은 경우’ 등을 고려하여, 기준금액의 100분의 30에 해당하는 금액인 천 원을 감경한다. 라. 2차 조정

과징금 부과기준 제10조에 따라 피심인이 ▲과징금의 사전통지 및 의견제출 기간이 종료되기 이전에 위반행위를 중지하는 등 시정을 완료한 점, ▲정보주체에게 발생한 피해에 대한 원상회복, 손해배상 또는 이에 상당하는 필요한 피해의 회복 및 피해 확산 방지 조치를 이행한 점, ▲자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 점 등을 종합적으로 고려하여, 1차 조정을 거친 금액의 100분의 50에 해당하는 천 원을 감경한다. 마. 과징금의 결정 피심인의 보호법 제29조(안전조치의무) 위반행위에 대한 과징금은 같은 법 제64조의2제1항제9호, 시행령 제60조의2, [별표 1의5] '과징금의 산정기준과 산정절차’ 2. 가. 1) 및 '과징금 부과기준’에 따라 위와 같이 단계별로 산출한 금액인 134,791,000천 원*을 최종 과징금으로 결정한다. * 최종 과징금은 천 원으로 산정되었으나, 과징금 부과기준 제11조제5항에 따라, 1억원 이상인 경우에는 1백만원 단위 미만의 금액을 버리는 원칙을 적용하여, 134,791,000천 원을 최종 과징금으로 결정함 <img src="/LSW/flDownload.do?flSeq=158164335" alt="45번째 이미지"></img> * ①(고의ㆍ과실:중) ▲서버 교체 등 이유로 운영체제 취약점 보안 업데이트 미실시 등 위반행위 발생 ▲보안 취약점 내용과 조치 필요성에 대한 인지 후에도 업무 부담 등의 이유로 피해 최소화를 위한 임시 안전조치도 미실시 ▲인프라 영역에 대한 개인정보 처리 현황을 파악하지 않는 등 이동통신 서비스 전반의 보호법 적용에 대한 검토가 부재하여 이 사건 유출이 발생 ▲자체적으로 운영하고 있는 침입탐지장비를 통해 해킹 및 유출 사고를 인지하여 유출 신고한 점, 불법적인 침입 방지를 위한 보안 시스템(방화벽, IDS, NDR 등) 도입ㆍ운영, 해킹ㆍ유출 원인 분석 노력 등 참작 ②(부당성:중) ▲안전조치의무 위반행위로 인한 해커의 데이터베이스(DB) 접근 허용 및 개인정보 유출 발생 등 직접적인 관련성 존재 ▲다수의 안전조치의무 위반행위 발생(안전성 확보조치 기준 §5, §6, §7, §9 등) ▲유출사고가 발생한 통신 인프라 영역은 개인정보 보호 관련 조직ㆍ체계 부재, 개인정보 보호책임자 업무 수행 소홀(개인정보 보호책임자 관련 위반행위(§31) 존재)

▲조직적인 행위 미해당, ▲대표자 또는 임원의 책임ㆍ관여 미해당, ▲IT 영역에서는 개인정보 보호 관리체계를 수립하여 운영하고 있는 점 등 참작 ③(개인정보 유형:중) ▲유출된 개인정보 중 인증정보(유심 인증키) 포함 ④(피해규모:상) ▲약 2,300만 명 국민에 대한 불안감 조성 및 이를 해소하기 위한 정부ㆍ기관ㆍ기업의 대책 수립ㆍ시행 등 심각한 사회적 혼란 야기 ▲알뜰폰 포함 약 2,300만 명의 개인정보 유출(5G 및 LTE 서비스 전체 이용자 정보 유출) ▲유출된 개인정보(휴대전화번호, IMSI(국제가입자식별번호), 유심인증키(Ki, Opc) 등)는 이동통신망 가입자 인증 등에 필요한 핵심 정보 ▲유출된 항목은 USIM 복제에 이용되는 정보로 개인정보 침해 영향도가 매우 높음( ) ▲개인정보 유출에 이용된 운영체제 취약점 보안 업데이트 미조치 등 안전조치의무 위반기간 약 8년 이상('16. 10월 ~ ’25. 4월) ▲대규모 개인정보 유출 사고임에도 민관합동조사단의 조사가 진행 중이라는 이유로 개인정보 유출 통지를 지연하는 등 정보주체 혼란 방치 ▲이번 유출사고 관련 집단분쟁조정(3건, 약 2,000명) 및 개인분쟁조정(604건) 제기 ▲KISA, 이번 유출사고 관련 침해 신고ㆍ상담 접수(총 816건, 2차 피해 관련 접수 31건) ** 위반기간 : 최소 2년 이상(개인정보 유출에 이용된 운영체제 취약점 보안 업데이트 미조치 등 안전조치의무 위반기간 약 8년 이상('16. 10월 ~ ’25. 4월)) *** 2차 조정 단계에서 개인정보 보호 인증(ISMS-P)의 경우, 이번 유출사고가 발생한 통신 인프라 영역의 이동통신망 시스템 등은 ISMS-P 인증 범위에 포함되지 않아 감경을 적용하지 않고, 조사 협조의 경우 피심인의 기 보유자료 제출 고의 지연, 자료제출 비협조 등을 고려하여 감경을 적용하지 않음 2. 과태료 부과 피심인의 보호법 제34조(개인정보 유출 등의 통지ㆍ신고)제1항 위반행위에 대한 과태료는 같은 법 제75조(과태료)제2항제17호, 시행령 제63조 [별표2] 및 「개인정보 보호법 위반에 대한 과태료 부과기준」개인정보 보호법 위반에 대한 과태료 부과기준(개인정보보호위원회 지침, 2023. 9. 15. 시행)(이하 '과태료 부과기준’)에 따라 다음과 같이 부과한다.

※ 보호법 제29조 위반행위의 경우, 보호법 제76조(과태료에 관한 규정 적용의 특례)에 따라 과징금을 부과한 행위와 동일하므로 과태료를 부과하지 않음 ※ 보호법 제31조제1항 위반행위의 경우, 피심인이 시행령에 따른 자격요건에 따라 개인정보 보호책임자를 지정한 점 등을 고려하여 과태료를 부과하지 않고 시정명령으로 갈음함 가. 기준금액 시행령 제63조 [별표2]는 최근 3년간 같은 위반행위를 한 경우 위반 횟수에 따라 기준금액을 규정하고 있고, 피심인은 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 있으므로 제34조(개인정보 유출 등의 통지ㆍ신고)제1항 위반행위에 대해서는 2회 위반*에 해당하는 과태료인 1,200만 원을 기준금액으로 적용한다. * 피심인은 '23. 6. 14. 유출 신고 및 유출 통지 지연 행위로 인한 과태료 처분을 받음 <img src="/LSW/flDownload.do?flSeq=158164337" alt="46번째 이미지"></img> 나. 과태료의 가중 및 감경 1) (과태료의 가중) 과태료 부과기준 제7조는 “당사자의 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표3]의 가중기준(▲위반의 정도, ▲위반기간, ▲조사방해, ▲위반주도 등을 고려하여 가중사유가 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 가중할 수 있다.”라고 규정하고 있다. 피심인의 경우, 과태료 부과기준 제7조 및 [별표3]의 가중기준에 따라, 피심인의 보호법 제34조(개인정보 유출 등의 통지ㆍ신고)제1항 위반행위는 특별히 가중할 사유는 없어 기준금액을 유지한다. 2) (과태료의 감경) 과태료 부과기준 제6조제1항은 “당사자의 위반행위 정도, 위반행위의 동기와 그 결과 등을 고려하여 [별표2]의 감경기준(▲당사자 환경, ▲위반정도, ▲개인정보보호 노력정도, ▲조사협조 및 자진시정 등을 고려하여 감경사유가 인정되는 경우)에 따라 기준금액의 100분의 50의 범위 이내에서 감경할 수 있다.”라고 규정하고 있고, 제6조제2항은 “[별표2]의 각 기준에 따른 과태료 감경 시 그 사유가 2개 이상 해당되는 경우에는 합산하여 감경하되, 제2호 1) 및 2)에 해당하는 사유가 각 2개 이상 해당되는 경우에는 기준금액의 100분의 50을 초과할 수 없고, 최종 합산 결과 기준금액의 100분의 90을 초과할 수 없다.”라고 규정하고 있다.

피심인의 경우, 과태료 부과기준 제6조 및 [별표2]의 감경기준에 따라, 피심인의 보호법 제34조(개인정보 유출 등의 통지ㆍ신고)제1항 위반행위는 ’과태료의 사전통지 및 의견제출 기간이 종료되기 이전에 위반행위를 중지하는 등 시정을 완료한 경우' 등을 종합적으로 고려하여 기준금액의 20%를 감경한다. ※ 조사 협조 감경의 경우, 피심인의 기 보유자료 제출 고의 지연, 자료제출 비협조 등 사유 등을 고려하여 과태료 감경을 적용하지 않음 다. 최종 과태료 피심인의 보호법 제34조(개인정보 유출 등의 통지ㆍ신고)제1항 위반행위에 대해 기준금액에서 가중ㆍ감경을 거쳐 총 960만 원의 과태료를 부과한다. <img src="/LSW/flDownload.do?flSeq=158164339" alt="47번째 이미지"></img> 3. 시정조치 명령 피심인에 대하여 보호법 제64조제1항에 따라 다음과 같이 시정조치를 명한다. 피심인은 국민 생활에 밀접한 이동통신 서비스를 제공하는 기간통신사업자로서 개인정보보호 강화 및 유출 사고 재발 방지를 위해, 가. 개인정보 처리 현황을 면밀히 파악하여 이동통신망 내 개인정보처리시스템에 대한 불법적인 접근 가능 경로 및 취약점 등 침해사고 위험 요소를 사전에 분석ㆍ차단하는 등 안전조치를 강화할 것 나. 회사 전반의 개인정보 처리 업무를 총괄하도록, 안전조치를 포함한 보호법 준수에 대한 개인정보 보호책임자의 책임과 역할을 명확히 정립하는 한편, 개인정보 보호에 필요한 조치가 충실히 이행될 수 있도록 거버넌스 체계를 구축ㆍ정비할 것 다. 개인정보 처리 전 과정에서 안전조치가 준수될 수 있도록 수탁자(협력사, 대리점ㆍ판매점 등)에 대한 강화된 관리ㆍ감독 체계를 마련하고 이행할 것 라. 개인정보 유출 및 피심인의 미흡한 대응으로 정보주체 및 사회 전반, 국가적으로 피해가 발생한바, 사회경제적 손실을 회복하고, 이동통신 서비스의 신뢰를 회복할 수 있도록, 사회 전반의 개인정보보호 강화를 위한 노력을 다할 것 마. 피심인은 가.부터 라.까지의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분 통지를 받은 날로부터 90일 이내에 이행 결과를 개인정보보호위원회에 제출하여야 한다. 4. 결과 공표

보호법 제66조제1항 및 「개인정보 보호법 위반에 대한 공표 및 공표명령 지침개인정보 보호법 위반에 대한 공표 및 공표명령 지침(개인정보보호위원회 지침, 2023. 10. 11. 시행)」(이하 ’공표 및 공표명령 지침') 제3조(공표요건)제1항에 따라, '보호위원회의 처분 시점을 기준으로 최근 3년 내 시정조치 명령, 과태료, 과징금 부과처분을 2회* 이상 받은 경우(제2호)’에 해당하므로, 피심인이 시정조치 명령과 과징금ㆍ과태료 부과를 받은 사실에 대해 개인정보보호위원회 홈페이지에 1년 간 공표한다. * 피심인은 '23. 6. 14. 과태료(360만 원), ’23. 7. 12. 과태료(100만 원)을 부과받은 사실이 있음 <img src="/LSW/flDownload.do?flSeq=158164341" alt="48번째 이미지"></img> 5. 결과 공표명령 보호법 제66조제2항 및 공표 및 공표명령 지침 제6조제1항에 따라 '위반행위가 법 제64조의2제1항 각 호의 어느 하나에 해당하여 과징금을 부과받은 경우로서 영 [별표1의5] 제2호가목에 따른 위반행위의 중대성의 정도가 ’매우 중대한 위반행위'에 해당하는 경우(3호)’, ’위반행위 시점을 기준으로 위반상태가 3년을 초과하여 지속된 경우(7호)', ’위반행위로 인하여 피해를 입은 정보주체의 수가 10만 명 이상인 경우(8호)'에 해당하고 위반행위가 인터넷을 통하여 이루어졌으므로 제8조 및 제11조에 따라 처분등에 대한 통지를 받은 날부터 1개월 이내에 당해 처분등을 받은 사실을 피심인의 홈페이지(모바일 어플리케이션 포함)의 초기화면 팝업창에 전체화면의 6분의1 크기로 5일 이상 7일 미만의 기간 동안(휴업일 포함) 공표하도록 명한다. 다만, ’1일간 다시 보지 않기' 기능의 사용 등 팝업창 설정방식 등은 보호위원회와 협의하여 정한다. 이때 제7조제1항, 제8조제3항에 따라 원칙적으로 공표지침 [별표]의 표준 공표 문안을 따르되, 공표 문안 등에 관하여 보호위원회와 미리 문서로 협의해야 하고, 제11조제3항에 따라 글자크기ㆍ모양ㆍ색상 등에 대해서는 해당 홈페이지 특성을 고려하여 보호위원회와 협의하여 정한다. Ⅴ. 개선 권고 피심인의 개인정보보호 실태에 대하여 보호법 제61조(의견제시 및 개선권고)제2항에 따라 아래와 같이 개선을 권고한다.

가. 피심인은 개인정보 보호 관리체계(ISMS-P) 인증 범위를 이동통신 인프라 영역으로 확대하여, 회사 시스템 전반의 개인정보 안전성 확보조치 수준을 제고할 것 나. 피심인은 이동통신 인프라 영역 전반에 대해서도 실질적으로 적용될 수 있는 내부 관리계획을 수립ㆍ시행 및 점검할 것 다. 피심인은 가상 데스크톱 인프라( ) 운영과 관련하여, 개인정보취급자의 접근권한 및 접속기록 등 관리 실태를 점검 및 개선할 것 라. 피심인은 가., 나., 다.의 개선권고 통지를 받은 날로부터 90일 이내에 조치 결과를 개인정보보호위원회에 제출하여야 한다. Ⅵ. 결론 피심인의 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정 등)제1항ㆍ제3항, 제34조(개인정보 유출 등의 통지ㆍ신고)제1항을 위반한 행위에 대하여 같은 법 제64조의2(과징금의 부과)제1항제9호, 제75조(과태료)제2항제17호, 제64조(시정조치 등)제1항, 제66조(결과의 공표)제1항ㆍ제2항, 제61조(의견제시 및 개선권고)제2항에 따라 과징금ㆍ과태료 부과, 시정조치 명령, 결과 공표ㆍ공표명령, 개선 권고를 주문과 같이 의결한다.

결정요지

안건번호 : 제2025-018-243호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : 에스케이텔레콤 주식회사 (사업자등록번호 : )대표자 의결연월일 : 2025. 8. 27.