방통위 “보호조치 미비”…피해자 손배소송 등에 영향 예상
지난해 8월부터 올해 2월 사이 홈페이지 해킹으로 가입자 981만여명의 개인정보 1천170만여건이 유출된 KT에 대해 총 8천500만원의 과징금·과태료 부과와 시정 명령 등이 결정됐다.방송통신위원회는 26일 최성준 위원장 주재로 전체회의를 열어 ‘KT의 개인정보보호 법규 위반에 대한 행정처분’ 안건을 심의해 과징금 7천만원과 과태료 1천500만원 부과, 재발 방지를 위한 기술적·관리적 보호조치를 수립·시행토록 하는 시정조치 명령과 개선 권고를 의결했다.
방통위는 지난 3월 경찰이 KT 홈페이지의 개인정보 유출사건을 발표한 직후, KT가 개인정보를 보호하기 위해 기술적·관리적 조치를 했는지와 이용자 동의 없이 개인정보를 제3자에 제공했는지 등을 조사해왔다.
정보통신망법에 따르면 KT가 가입자 동의 없이 제3자에 개인정보를 제공했다면 3개년도 연평균 관련 매출의 1% 이하 과징금, 기술적 조치가 미비하면 3천만원 이하 과태료를 부과할 수 있다. 미흡한 기술적 조치로 개인정보가 누출된 사실이 확인되면 1억원 이하의 과징금을 물릴 수 있다.
방통위가 개인정보 유출과 관련해 기술적·관리적 보호 조치가 미비하다는 이유로 과징금을 대형 사업장에 부과한 것은 이번이 처음이다. 이전에는 중소기업 사업장들만 이 조항에 의해 과징금을 부과받았다.
2012년 KT가 부과받은 과징금 7억5천300만원은 가입자의 동의 없이 개인정보를 제3자에게 제공하면 안 된다는 조항에 따른 것이었다.
방통위는 “KT가 대량의 개인정보를 보유·이용하고 있는 기간통신사업자로서 철저한 기술적·관리적 보호조치를 갖춰야 함에도 불법 접근을 차단하는 시스템 등 접근통제장치의 설치·운영, 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치를 이행하지 않았다”고 밝혔다.
방통위는 특히 ▲ 이용자 본인 인증절차가 미흡하고 외부의 접근을 차단·통제하지 못한 점 ▲ 해커의 수법이 이미 널리 알려진 방식인 점 ▲ 해킹사고를 당한 전력이 있어 유사 사고가 재발할 수 있다는 사실을 인지하고 있었던 점 등을 고려할 때 이번 개인정보 누출이 기술적·관리적 보호조치 미비로 인한 것이라고 판단했다.
최 위원장은 “개인정보 누출에 대한 사업자의 책임을 인정하는 이번 행정처분이 국민의 개인정보를 대규모로 취급하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”며 “기업들의 개인정보 보호조치를 적극적으로 점검해 국민의 불안과 피해를 최소화하기 위해 최선을 다하겠다”고 말했다.
KT는 방통위의 결정에 대한 공식 입장자료에서 “전문 해커에 의해 고객정보가 유출된 사고로, 매우 당혹스럽고 유감스럽다”며 “고객 정보 유출에 대해 다시 한번 사과의 뜻을 밝히며 점점 고도화되는 해킹에 맞춰 한 단계 격상된 보안 체계를 목표로 종합대책을 마련해 시행하겠다”고 밝혔다.
방통위의 이번 결정은 향후 KT에 대한 법원의 판결과 개인정보 유출 피해자들의 손해배상 소송에도 영향을 미칠 전망이다.
경제정의실천시민연합 소비자정의센터는 이날 KT 광화문 사옥 앞에서 기자회견을 열어 개인정보 유출 사건에 대한 KT의 책임을 직접 묻고자 개인정보 유출 피해자 2천796명에 대해 1인당 100만원씩 모두 27억9천600만원을 손해배상을 요구하는 소송을 제기한다고 밝혔다.
한편 오는 12월 시행되는 개정 정보통신망법은 개인정보 누출로 인한 국민 불편과 피해에 비해 제재수준이 너무 낮다는 지적에 따라 기술적·관리적 보호조치와 개인정보 유출 간의 인과관계가 없더라도 사업자에게 관련 매출액의 3% 이하를 과징금으로 부과할 수 있게 했다. 개인정보가 유출된 이용자가 손해를 구체적으로 입증하지 않아도 최대 300만원의 손해배상을 받는 법정 손해배상제도도 도입된다.
┌──────────────┬──────────────────────┐
│ 구 분 │ 위반 사항 │
├───┬─────┬────┼──────────────────────┤
│기술적│ 접근통제 │마이올레│ 일단 로그인을 하면, 타인의 고객서비스 │
│관리적│ (법 28조 │ │계약번호(9자리)를 입력하더라도 인증단계 없이│
│보 호 │ ①항 2호)│ │ 타인의 정보(이름 등)까지 조회 가능 │
│조 치 │ │ ├──────────────────────┤
│미 비 │ │ │특정 IP에서 하루 최대 수십만 건의 개인정보를│
│ │ │ │조회했음에도 비정상적인 접근을 탐지ㆍ차단하 │
│ │ │ │ 지 못함 │
│ │ ├────┼──────────────────────┤
│ │ │올레클럽│ KT 사내망에서 인가받은 자가 접근할 수 있는 │
│ │ │ │웹페이지에 해커가 외부 인터넷망을 통해 접속 │
│ │ │ │ 했음에도 탐지ㆍ차단하지 못함 │
│ │ │ ├──────────────────────┤
│ │ │ │사용 중지된 퇴직자 ID로 8만여건의 개인정보를│
│ │ │ │조회했음에도 비정상적인 접근을 탐지ㆍ차단하 │
│ │ │ │ 지 못함 │
│ ├─────┼────┼──────────────────────┤
│ │ 암호화 │올레클럽│개인정보 전송 과정에 대해 암호화기술 미적용 │
│ │ (법 28조 ├────┼──────────────────────┤
│ │①항 4호) │ 유선계 │ 일부 가입자의 주민등록번호 암호화하지 않고 │
│ │ │ DB │ 평문 저장함 │
├───┴─────┼────┼──────────────────────┤
│ 최소 정보전송 및 │마이올레│ 불필요한 정보 전송 및 마스킹 처리 불비 │
│ 마스킹 처리 권고 │ │ │
└─────────┴────┴──────────────────────┘
연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지