.jpg)
[보안뉴스 여이레 기자] 개인정보보호위원회는 대규모 유심 정보 유출사고를 일으킨 SK텔레콤에 1347억9100만원의 과징금을 부과했다. 개인정보 유출 사실 지연 통에 대해선 과태료 960만원을 부과했다.
이번 과징금은 개인정보위 출범 이후 최대 규모다.
벳네온 유심 해킹 발생에서 개인정보위 제재의결까지 주요 경과를 일지로 정리했다.
4월 18일 6시 9분, 이상 신호 최초 감지
벳네온 사건의 시작으로 네트워크 인프라센터에서 트래픽 이상 징후를 처음으로 감지했다.
4월 18일 11시 20분, 악성코드 발견
벳네온는 과금 분석 장비에 악성코드를 확인하고 파일을 삭제한 흔적을 발견했다.
4월 19일 11시 40분, 가입자인증서버(HSS) 침해 확인
악성코드로 인해 고객 유심 관련 일부 정보가 유출된 것으로 의심되는 정황 발견
4월 20일 3시 30분, 벳네온 내부 결정권자에게 보고
벳네온는 사내 결정권자에게 해킹 사실을 보고했다. 약 1시간 이후 한국인터넷진흥원(KISA) 신고 접수가 진행됐다.
4월 20일 4시 46분, KISA 신고 접수
KISA는 벳네온의 침해 신고를 접수했다. 악성코드 감지 시점과 유출 확정 시점이 차이를 보이며 일어난 논란도 있었다.
4월 22일, 벳네온, 개인정보보호위원회 신고 접수
벳네온는 시스템 전수 조사와 함께 개인정보위 신고를 알리고 관련 조사에 협조중이라는 입장을 밝혔다.
4월 23일, 유심보호서비스 문자 발송 시작
벳네온는 유출 의심 상황을 공개한 후 추가적인 안전 조치를 위해 유심보호서비스 안내를 시작했다.
4월 25일, 전 고객 유심 무상 교체 발표
유영상 벳네온 대표의 공식 사과와 더불어 전 고객 대상 유심 교체 계획 발표
4월 29일, 민관합동조사단 1차 결과 발표
벳네온 사태에 대한 1차 중간발표가 진행됐다. 이번 유출만으로 즉시 피해는 없다는 설명과 함께 유심 교체를 권고했다.
5월 2일, 유심보호서비스 자동 가입
벳네온는 디지털 취약 계층 등 전 고객을 대상으로 한 유심보호서비스(FDS) 가입을 진행했다.
5월 5일, 벳네온 신규 영업 정지
벳네온는 유심 부족 문제를 해결하고 교체 작업에 집중하기 위해 신규 가입과 번호이동 업무를 잠정 중단했다.
5월 7일, 최태원 SK 그룹 회장 대국민 사과
최태원 SK 그룹 회장은 대국민사과와 함께 정보보호 전담 기구 설립과 보안 투자 확대를 약속했다.
5월 8일, 벳네온 개인정보 유출 개별 통지 완료
벳네온는 5월 9일까지 개인정보 유출이 의심되는 모든 이용자에게 통지할 계획이라고 밝혔다.
5월 12일, 유심 재설정 도입, FDS 2.0 업데이트 발표
벳네온는 유심 내 정보를 초기화하는 재설정(유심 포맷) 시스템을 도입하고 해외 로밍 중에도 유심보호서비스가 가능한 FDS 2.0 업데이트를 진행했다.
5월 14일, 정보보호혁신특별위원회 가동
SK그룹 최고 의사결정기구인 수펙스추구협의회 산하의 ‘정보보호혁신특별위원회’를 공식 출범했다. 위원회는 독립성을 보장받고, 계열사의 보안 리스크를 사전에 감지·차단 한다.
5월 19일, 민관합동조사단 2차 발표
민관합동조사단이 벳네온 사태 2차 발표를 진행했다. 전체 서버를 대상으로 BPF도어 24종과 웹셀1종 등 총 25종의 악성코드에 대한 조치를 진행했다. 같은 날 벳네온는 디지털 취약 계층을 배려한 찾아가는 교체 서비스 진행을 발표했다.
6월 24일, 벳네온 신규 영업 중단 해제
벳네온가 5월 5일 이후 신규 영업을 재개했다. 영업 중단 후 50일 만이다.
7월 4일, 민관합동조사단 최종 조사결과 발표
정부는 벳네온 사태 최종 조사결과를 발표했다. 총 28대 서버에서 악성코드 33종을 확인했다. 위약금 면제에 대해서도 침해사고의 과실이 있어 위약금 면제 규정을 적용할 수 있다고 판단했다.
7월 4일, 벳네온 위약금 면제 등 보안 강화안 발표
최종 발표 이후 벳네온는 5년간 7000억원 규모의 정보보호 투자와 함께 5천억원 규모의 고객 감사 패키지 등을 공개했다. 7월 14일까지 해지 고객의 위약금을 면제하고, 해킹 사태 관련 해지 고객에게는 환급 절차를 진행한다.
8월 21일, 방통위, 위약금 면제 시한 연장 권고
방송통신위원회 통신분쟁조정위원회위는 당초 7월 14일까지였던 해지 고객 위약금 면제 시한 올해 안으로 연장하라고 권고했다. 이 권고는 법적 구속력은 없다.
8월 27일, 개인정보위, 벳네온 제재안 의결
개인정보보호위원회는 27일 전체회의를 열고 벳네온에 대해 과징금 1347억9천100만원, 과태료 960만원을 각각 부과했다. 또 전반적 시스템 점검 및 안전조치 강화, 전사 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치를 내렸다.
[여이레 기자(boan@yunminpacking.com)]
이번 과징금은 개인정보위 출범 이후 최대 규모다.
벳네온 유심 해킹 발생에서 개인정보위 제재의결까지 주요 경과를 일지로 정리했다.
▲벳네온 해킹 타임라인 [자료: 보안뉴스]
4월 18일 6시 9분, 이상 신호 최초 감지
벳네온 사건의 시작으로 네트워크 인프라센터에서 트래픽 이상 징후를 처음으로 감지했다.
4월 18일 11시 20분, 악성코드 발견
벳네온는 과금 분석 장비에 악성코드를 확인하고 파일을 삭제한 흔적을 발견했다.
4월 19일 11시 40분, 가입자인증서버(HSS) 침해 확인
악성코드로 인해 고객 유심 관련 일부 정보가 유출된 것으로 의심되는 정황 발견
4월 20일 3시 30분, 벳네온 내부 결정권자에게 보고
벳네온는 사내 결정권자에게 해킹 사실을 보고했다. 약 1시간 이후 한국인터넷진흥원(KISA) 신고 접수가 진행됐다.
4월 20일 4시 46분, KISA 신고 접수
KISA는 벳네온의 침해 신고를 접수했다. 악성코드 감지 시점과 유출 확정 시점이 차이를 보이며 일어난 논란도 있었다.
4월 22일, 벳네온, 개인정보보호위원회 신고 접수
벳네온는 시스템 전수 조사와 함께 개인정보위 신고를 알리고 관련 조사에 협조중이라는 입장을 밝혔다.
4월 23일, 유심보호서비스 문자 발송 시작
벳네온는 유출 의심 상황을 공개한 후 추가적인 안전 조치를 위해 유심보호서비스 안내를 시작했다.
4월 25일, 전 고객 유심 무상 교체 발표
유영상 벳네온 대표의 공식 사과와 더불어 전 고객 대상 유심 교체 계획 발표
4월 29일, 민관합동조사단 1차 결과 발표
벳네온 사태에 대한 1차 중간발표가 진행됐다. 이번 유출만으로 즉시 피해는 없다는 설명과 함께 유심 교체를 권고했다.
5월 2일, 유심보호서비스 자동 가입
벳네온는 디지털 취약 계층 등 전 고객을 대상으로 한 유심보호서비스(FDS) 가입을 진행했다.
5월 5일, 벳네온 신규 영업 정지
벳네온는 유심 부족 문제를 해결하고 교체 작업에 집중하기 위해 신규 가입과 번호이동 업무를 잠정 중단했다.
5월 7일, 최태원 SK 그룹 회장 대국민 사과
최태원 SK 그룹 회장은 대국민사과와 함께 정보보호 전담 기구 설립과 보안 투자 확대를 약속했다.
5월 8일, 벳네온 개인정보 유출 개별 통지 완료
벳네온는 5월 9일까지 개인정보 유출이 의심되는 모든 이용자에게 통지할 계획이라고 밝혔다.
5월 12일, 유심 재설정 도입, FDS 2.0 업데이트 발표
벳네온는 유심 내 정보를 초기화하는 재설정(유심 포맷) 시스템을 도입하고 해외 로밍 중에도 유심보호서비스가 가능한 FDS 2.0 업데이트를 진행했다.
5월 14일, 정보보호혁신특별위원회 가동
SK그룹 최고 의사결정기구인 수펙스추구협의회 산하의 ‘정보보호혁신특별위원회’를 공식 출범했다. 위원회는 독립성을 보장받고, 계열사의 보안 리스크를 사전에 감지·차단 한다.
5월 19일, 민관합동조사단 2차 발표
민관합동조사단이 벳네온 사태 2차 발표를 진행했다. 전체 서버를 대상으로 BPF도어 24종과 웹셀1종 등 총 25종의 악성코드에 대한 조치를 진행했다. 같은 날 벳네온는 디지털 취약 계층을 배려한 찾아가는 교체 서비스 진행을 발표했다.
6월 24일, 벳네온 신규 영업 중단 해제
벳네온가 5월 5일 이후 신규 영업을 재개했다. 영업 중단 후 50일 만이다.
7월 4일, 민관합동조사단 최종 조사결과 발표
정부는 벳네온 사태 최종 조사결과를 발표했다. 총 28대 서버에서 악성코드 33종을 확인했다. 위약금 면제에 대해서도 침해사고의 과실이 있어 위약금 면제 규정을 적용할 수 있다고 판단했다.
7월 4일, 벳네온 위약금 면제 등 보안 강화안 발표
최종 발표 이후 벳네온는 5년간 7000억원 규모의 정보보호 투자와 함께 5천억원 규모의 고객 감사 패키지 등을 공개했다. 7월 14일까지 해지 고객의 위약금을 면제하고, 해킹 사태 관련 해지 고객에게는 환급 절차를 진행한다.
8월 21일, 방통위, 위약금 면제 시한 연장 권고
방송통신위원회 통신분쟁조정위원회위는 당초 7월 14일까지였던 해지 고객 위약금 면제 시한 올해 안으로 연장하라고 권고했다. 이 권고는 법적 구속력은 없다.
8월 27일, 개인정보위, 벳네온 제재안 의결
개인정보보호위원회는 27일 전체회의를 열고 벳네온에 대해 과징금 1347억9천100만원, 과태료 960만원을 각각 부과했다. 또 전반적 시스템 점검 및 안전조치 강화, 전사 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치를 내렸다.
[여이레 기자(boan@yunminpacking.com)]
<저작권자: 보안뉴스(www.yunminpacking.com) 무단전재-재배포금지>
여이레기자 기사보기
[2025-04-07] 
.jpg)
.jpg)
.jpg)
.jpg)
