SKT被罚1348亿韩元创历史新高…个人信息保护委员会称“判断为极其严重违规”(综合)

by Kim Bokyung

Published 28 Aug.2025 11:10(KST)

Updated 28 Aug.2025 16:40(KST)

open/close

27日召开全体会议公布调查结果和处分
大量恶意代码被植入…错失事前防范良机
Ko Haksoo：“希望大家把安全视为必不可少的投资”

SK电信因今年4月黑客事件导致的个人信息泄露，被政府处以约1348亿韩元的罚款。这是个人信息保护法违规罚款中史上最高规模。调查结果显示，SKT在加密、安装杀毒软件、安全更新等基本安全措施方面疏于管理，个人信息保护负责人（CPO）的管理和监督权限也十分有限。

个人信息保护委员会27日召开全体会议，决定对SKT处以1347亿9100万韩元的罚款和960万韩元的罚金。这是继2022年对谷歌和Meta合计处以1000亿韩元罚款之后的历代最高金额。

就此次事件，个人信息保护委员会在计算罚款时，将其在判断标准中定为最高等级的“极其严重违规”。罚款可在销售额3%以内裁量，与泄露无关的销售额可以排除在外。

个人信息保护委员会委员长Ko Haksoo表示：“公司在数年间一直暴露在脆弱状态之下，存在极其广泛类型的漏洞”，“违反了告示中的多项条款，因此得出‘极其严重’的结论”。

8月27日，在首尔钟路区政府首尔办公大楼举行的全体会议上，个人信息保护委员会委员长 Koh Haksoo 在审议发生USIM黑客事件的SK电信处分方案前敲响议事槌。2025年8月27日记者 Jo Yongjun

个人信息保护委员会通过为期3个月的集中调查确认，SKT的LTE和5G服务全部用户共2324万4649人（含廉价手机用户）的手机号码、用户识别号（IMSI）、USIM认证密钥等25类信息被泄露。

黑客首次侵入SKT内部网络是在2021年8月，其在多台服务器中安装了恶意程序；2022年6月，又在综合客户认证系统（ICAS）内安装恶意程序，获取了追加据点。此后在今年4月18日，将存储在家庭用户服务器（HSS）数据库中的用户个人信息对外泄露。HSS是指用于用户接入移动通信网的认证系统。

个人信息保护委员会表示，此次事件“是由于SKT基本安全措施不完善以及管理疏忽而发生”，“互联网与内部网络之间的安全运行环境被管理成对黑客的非法入侵极其脆弱的状态”。

SKT将互联网网、管理网、核心网和公司内部网连接在同一网络中运营，对国内外互联网网络访问SKT内部管理网服务器不加限制地予以允许。此外，即便管理网服务器与本次泄露事故发生的HSS之间并无互联必要，仍允许其互联，导致黑客可以从互联网网络一路访问到HSS，并将USIM信息等对外传送。

Yoo Youngsang SKT代表。

SKT未对入侵检测系统的异常行为日志进行核查等，在对非法泄露企图的探测和应对措施方面疏于管理。尤其是，SKT在2022年2月已确认黑客曾访问HSS服务器，但未检查是否存在异常通信、是否追加安装恶意程序以及访问控制策略是否适当，从而错失了事前防止泄露事故的机会。

SKT将保存账号信息（ID和密码）的文件在管理网服务器中未设密码就进行存储和管理，并在HSS中允许在不经过输入密码等认证程序的情况下查询个人信息。借此，黑客利用获取的账号信息访问管理网服务器，安装恶意程序并查询、提取个人信息。

SKT连最基本的安全更新都未妥善执行。黑客用于安装恶意程序的操作系统安全漏洞“DirtyCow”早在2016年10月即已发布安全警报，并公开了安全补丁。尽管SKT已知悉此事，却在2016年11月仍安装了存在该安全漏洞的操作系统，并一直到今年4月信息泄露时仍未进行安全更新。

8月27日，个人信息保护委员会委员长 Koh Haksoo 出席在首尔钟路区政府首尔大厦举行的 SK电信制裁方案审议会议并发言。2025年8月27日记者 Cho Yongjun

自2020年起，各类商用杀毒软件已经可以探测该漏洞的利用行为，但SKT直到2025年4月仍未安装相关程序。其用以替代未安装杀毒软件的安全措施也未做到位，结果未能阻止本次泄露事故。

此外，由于将2614万4363条USIM认证密钥未加密而以明文形式存储，黑客得以原样获取可用于USIM复制的USIM认证密钥。尽管SKT确认LG Uplus在2011年、KT在2014年就已对USIM认证密钥进行加密存储，但其仍未采取相应措施，未能防止泄露损失。

本次泄露事故发生的基础设施领域，CPO甚至未能掌握个人信息处理现状，CPO的管理和监督事实上并未落实。个人信息保护委员会还决定，就其向客户迟延发出泄露通知、疏于防止损失扩大的行为，处以960万韩元罚金。

个人信息保护委员会就调查结果和处分方向召开了共4次事前审查会议，并在全体会议上听取SKT相关负责人出席陈述意见和答疑后，最终敲定处分方案。

为防止泄露事故再次发生，个人信息保护委员会下达整改命令，要求全面掌握移动通信服务整体的个人信息处理现状，强化安全措施，并整顿治理体系，使CPO能够统筹公司整体的个人信息处理业务。

Ko委员长表示：“希望以此次事件为契机，持有并处理大规模个人信息的经营者能够将相关预算和人力投入视为必不可少的投资，而非单纯的成本支出。”

本报道由人工智能(AI)翻译技术生成。