A통신사,<과징금1,347억9,100만원> 

과징금 부과 사유 및 재발 방지 대책

(1) 안전조치 의무 위반 및 유출 통지 위반으로 <과징금 1,347억 9,100만 원>, <과태료 960만 원> 부과

(2) 2,300여만 명의 주요 디지털 개인정보 유출

      이동통신 관련 핵심 네트워크 시스템에 대한 관리 소홀로 LTE·5G 서비스 전체 이용자 23,244,649명*(알뜰폰 포함, 중복 제거)의

      휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 (Ki, OPc) 등 25종의 정보가 유출

(3) 21년 최초 침투, 25년 개인정보 유출

      • 21년 8월: 최초 침투

      A통신사 내부망에 해커 최초 침투, 다수 서버에 악성프로그램 설치

      • 22년 6월: 추가거점 확보

      ICAS(통합고객인증시스템) 내 악성프로그램 추가 설치, 추가 거점 확보

      • 25년 4월 18일~: 개인정보 유출

      HSS(홈가입자서버) DB에 저장된 이용자의 개인정보 (9.82GB) 외부 유출

(4) 9월 초, 대규모 개인정보 처리자 대상 ‘개인정보 안전관리체계 강화 종합 대책’ 발표 예정

────────────────────────────────────────────────────────────

1. 기술적 보호조치 위반 사항: 안전성 확보 조치 고시 위반 사항

(1) 접근통제조치 소홀

     시스템망·고객 관리망·코어망 미흡한 분리운영

     비정상 통신 여부, 추가적인 악성프로그램 설치 여부, 접근 통제 정책의 적절성 등 유출 사고 사전 방지 대응 소홀

(2) 접근권한 관리 소홀

     서버 계정정보(ID/비밀번호 약 4,899개)가 저장된 파일을 관리망 서버에 미암호화 상태로 관리

(3) 보안 업데이트 미조치

    OS 보안 업데이트 및 백신 프로그램 미설치

(4) 유심 인증키 미암호화, 평문 저장

     유심인증키(Ki) 2,614만건 미암호화, 평문으로 HSS DB등에 저장

(5) 이외 미비 사항

     내부 관리계획 수립/시행 및 점검 소홀, 접속기록 미보관 등 안전조치의무를 미준수

2. 개인정보 책임자 업무수행 소홀 및 유출통지 지연

(1) CPO 역할 미흡

     개인정보 보호책임자(CPO)는 IT영역에 한정되도록 구성 및 운영, 인프라 영역은 관리감독 공백 상태

(2) 개인정보 유출통지 지연

     25년 4월 19일 유출 인지하였으나 법령에서 정한 72시간 내 통지의무 불이행