개인정보보호위원회가 지난 8월 28일 SKT에 1347억 9100만 원 규모의 과징금과 960만 원의 과태료를 부과한다고 밝혔다. SKT가 안전조치 의무를 위반해 2300만 명이 넘는 이용자의 개인정보가 유출된 데 따른 조치다. 이번 사고로 LTE·5G 전 가입자 2324만 4649명의 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 개인정보가 유출된 것으로 조사됐다. 피해 범위가 단일 사건 기준으로 국내 최대 규모에 해당한다는 평가다.
조사 결과 SKT가 보안 관리에 전반적으로 소홀했던 것으로 드러났다. △방화벽 설정 미흡으로 외부 침입에 취약한 상태였고 △서버 계정(ID·PW) 관리 부실 △유심 인증키를 암호화하지 않고 평문으로 저장 △백신 프로그램 미설치 등 기본 조치가 제대로 이행되지 않았다. 특히 일반 사용자 권한으로 관리자 권한을 탈취할 수 있는 ‘DirtyCow’는 2016년 이미 보안 패치가 제공됐지만, SKT가 이를 그대로 방치해 해커가 악성 프로그램을 설치할 수 있었던 사실도 확인됐다.
SKT는 지난 4월 HSS(홈가입자서버) 데이터베이스에서 가입자 정보 유출 사실을 확인하고도 법에서 정한 72시간 내 피해자 통지를 하지 않고, 두 달이 지난 7월에서야 확정 통보를 실시해 유출 통지 의무 또한 위반했다. 개인정보보호책임자(CPO) 역시 역할이 정보통신(IT) 영역에 한정돼, 사고가 발생한 이동통신 인프라 영역의 개인정보 처리 실태조차 파악하지 못하는 등 관리·감독이 사실상 이뤄지지 않았던 것으로 파악됐다.
과징금 규모는 개인정보위 출범 이후 역대 최대 수준이다. 2022년 9월 글로벌 IT기업인 구글이 692억 4100만 원, 메타가 308억 600만 원의 과징금을 받은 바 있지만, 이번 금액은 이를 크게 웃돈다. 당시 구글과 메타는 이용자의 동의 없이 행태정보를 수집·광고에 활용한 혐의로 제재를 받았다.
과징금이 급격히 불어난 배경에는 2023년 개정된 개인정보보호법이 있다. 개정 전에는 위반행위와 직접 관련된 매출액의 3%를 상한으로 삼았지만, 개정 후에는 전체 매출액의 3%를 기준으로 하되 관련 없는 매출액은 기업이 스스로 소명해야 제외된다. 이로 인해 기업이 충분히 입증하지 못하면 전체 매출액이 과징금 산정에 반영돼 부담이 크게 늘어난다. 업계에서는 이번 사례가 강화된 법 적용의 대표적 사례라는 평가가 나온다.
이와 관련, 통신업계 한 관계자는 “고객 정보를 직접 침해한 글로벌 기업보다 해킹 피해를 입은 국내 기업에 더 큰 과징금을 부과한 것은 형평성 측면에서 과도하다. 공식적인 2차 피해 사례가 확인되지 않은 상황에서 금액이 지나치게 크다”며 “국내 통신산업이 침체기에 있는데 과징금이 과도하면 사업자들이 위축돼 AI·6G·R&D 같은 미래 투자가 줄어들 수 있다. 과징금은 단순히 벌이 아니라 산업 발전을 위한 경고 성격으로 운영돼야 한다”고 말했다.
개인정보 유출 사태로 SKT는 고객 보상, 대리점 손실 보전 등에 이어 역대 최대 규모의 과징금까지 ‘조 단위’의 일회성 비용을 떠안게 됐다. 2분기에만 유심 교체와 대리점 영업 중단 보상 등으로 약 2500억 원의 손실을 인식했고, 피해 고객 요금 감면과 데이터 추가 제공을 실시하면서 연말까지 5000억 원이 더 들 것으로 예상된다. 여기에 7월 중순까지 약 72만 명의 고객이 이탈하면서 장기적으로 1조 원이 넘는 매출이 감소할 것으로 전망된다. 탈퇴 고객에게 면제한 위약금까지 고려하면 손실 규모는 더 커진다.
반면, 유출된 정보의 민감성과 규모를 감안하면 오히려 과징금이 적다는 지적도 제기된다. 해외의 경우 유럽연합(EU)와 영국은 ‘글로벌 매출’의 최대 4%, 중국과 캐나다는 최대 5%까지 과징금을 부과할 수 있다. SKT의 지난해 별도 기준 연간 매출 규모(12조 7741억 원)를 고려하면 최대 3800억 원까지 과징금 부과가 가능했지만 이번 제재는 1% 수준을 부과한 것에 그친다.
염흥열 순천향대 정보보호학과 교수는 “25종의 정보면 결코 적지 않은 분량이고 민감한 금융 정보까지 포함됐을 가능성이 높다. 국내 1위 통신사로서 전국민 절반을 고객으로 둔 SKT가 개인정보보호법에서 요구하는 다양한 안정성 조치를 준수하지 않은 것에 무거운 책임을 져야 한다”며 “결국 보안 투자를 소홀히 한 결과 이런 사태가 발생한 것이고, 앞으로는 개인정보와 보안 분야에 선제적 투자를 강화하라는 의미가 담긴 처분”이라고 말했다.
김명주 서울여대 정보보호학과 교수는 “2차 피해가 없기 때문에 1%도 과하다는 입장에 대해서는 수긍하기 어렵다. 어떤 경로로 개인정보가 유출됐는지 특정하기 어려운 상황에서 소비자들이 입증하지 못한다고 해서 피해가 없다고 단정할 수 없다”며 “게다가 피해가 발생하면 문제는 수사기관으로 넘어가기 때문에 실제 피해가 0건이라 하더라도 개인정보위의 업무 범위와 관련이 없다. 사건 규모에 비례해 과징금이 산정된 것”이라고 설명했다.
김주호 참여연대 민생경제팀장은 “법정 상한까지 부과했어야 한다고 본다”며 “SKT는 유출 사실이 외부에 알려진 뒤에도 초기에는 유심 교체를 무료로 해주지 않다가 여론 비판을 받고 나서야 무료로 전환했다. 현재 결합상품 위약금 면제도 통신분쟁위원회 권고를 수용하지 않고 버티고 있다”고 지적했다.
앞서 지난 8월 21일 방송통신위원회 통신분쟁조정위원회는 SK텔레콤의 위약금 면제 책임을 인정하고 올해 안에 위약금을 전액 면제해야 한다는 직권조정결정을 내렸다. 결합상품(여러 방송·통신 서비스를 한데 묶어 제공하면서 이용료를 할인해 주는 상품)도 절반은 감면 대상으로 판단했다. 그러나 조정안은 강제력이 없어 SKT가 수용하지 않으면 효력이 사라진다. 통신업계에서는 SKT가 조정안을 수용할 확률은 낮은 것으로 보고 있다.
SKT가 향후 행정소송을 통해 과징금 규모를 줄이려 시도할 가능성이 높다는 분석도 나온다. 이와 관련해 김용희 선문대 경영학과 교수는 “행정소송까지 가면 거의 항상 과징금 규모가 깎인다. 그러나 SKT가 이의를 제기하기보다 성실히 납부하고 신뢰 회복에 힘써야 한다고 본다”며 “과기부의 영업정지 기간 단축 조치까지 고려하면 이번 처분은 기업에 유리하게 배려된 측면이 강하다. 구글과 메타의 경우는 예상되는 피해가 훨씬 적었다”고 덧붙였다.
이와 관련, SKT 관계자는 “이번 결과에 무거운 책임감을 느끼며 앞으로 모든 경영활동에서 개인정보 보호를 핵심가치로 삼겠다. 또 고객 정보 보호 강화를 위해서 만전을 기할 것”이라며 “다만 의결 과정에서 소명한 내용이 충분히 반영되지 않은 점은 유감스럽다. 의결서를 수령한 뒤 면밀히 검토해 입장을 정할 예정”이라고 밝혔다.
김정민 기자 hurrymin@ilyo.co.kr
