지난 3월 KT 해킹 경찰 발표 직후 방통위는 민관합동조사단을 구성해 점검에 나섰다. 그 결과 이번 사고로 인한 피해 소비자는 981만 8074명, 유출된 개인정보 건수는 1170만 8875건에 달한 것으로 파악된다. 유출된 정보는 고객의 이름과 주민등록번호 등 12개 항목에 달한다.
방통위는 KT의 개인정보 보호가 미흡했다고 지적했다. 대량의 개인정보를 보유하고 이용하는 기간통신사업자 임에도 기술적·관리적 보호조치와 차단시스템, 암호화 기술 등이 미흡했거나 없었다는 것이다.
마이올레 홈페이지 웹서버는 이용자 요금 명세서 조회를 위해 개인정보 데이터베이스와 상시로 연결돼 있어 개인정보처리 시스템으로 봐야한다고 방통위는 판단했다.
또한 3개월간 특정 IP로 1266만 6441건 접속되고, 1일 최대 34만 건의 개인정보가 조회되는 비정상 접속의 특이사항을 발견하지 못했다는 점도 지적됐다.
이어 올레 홈페이지의 경우 KT 직원만 사내망에 접속하도록 돼있는데, 퇴직자 아이디로 2753번이나 접속해 8만여 건의 개인정보가 조회된 것도 기술적·관리적 보호조치를 취하지 않은 것으로 분석했다.
방통위는 위 3가지 사항에 대해 1억 원 이하의 과징금과 시정조치를 명했으나, KT가 유출된 개인정보를 이용해 이득을 취하지 않았으므로 7000만 원의 과징금을 부과하기로 의결했다.
이와 더불어 개인정보 암호화와 관련해 개인정보 전송 구간에 암화화 기술 미적용, 암호화 기술 등을 위한 보안 조치 위반으로 과징금과 별도로 3000만 원 이하의 과태료 부과와 시정조치를 명령했다.
최성준 방통위원장은 “개인정보 누출에 대한 사업자의 책임을 인정한 이번 행정처분으로 국민들의 개인정보를 대규모로 취급하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”며 “앞으로 온라인에서 개인정보를 다루는 기업들의 개인정보 보호조치를 적극적으로 점검해 국민들의 불안과 피해를 최소화하도록 노력하겠다”고 설명했다.
이번 방통위의 결정은 정부가 개인정보 유출과 관련해 기업의 과실과 책임을 처음 인정한 것이다. 그동안 옥션과 SK커뮤니케이션즈 등에서 정보유출 사고가 발생했지만, 방통위는 법률적으로 기업의 과실이 인정되지 않는다며 과징금 대신 과태료만 부과해왔다.
이에 대해 KT는 “그 동안 관련 법령에서 정한 보안수준을 준수하고자 최선을 다했으나, 전문해커에 의해 고객정보가 유출된 사고에 방통위가 법률 위반으로 과징금을 부과한 것과 관련해 매우 당혹스럽고 유감스럽다”면서도 “해킹 기술의 지능화 및 고도화에 맞춰 한 단계 격상된 보안체계를 목표로 종합대책을 마련해 실행하겠다”고 밝혔다.
KT는 위반 사항과 관련해 재발방지 대책을 수립해 방통위에 오는 7월 25일까지 제출해야 한다.
한편 앞으로 발생할 유사 개인정보 누출 사고에 대해서는 한층 강화된 제재를 가한다는 원칙도 세웠다. 기술적·관리적 보호조치와 개인정보 유출 사이에 인과관계가 없더라도 관련 매출액의 3% 이하 과징금을 사업자에 부과하도록 하는 개정 정보통신망법이 오는 12월부터 시행된다.
또한 이용자의 구체적 손해 입증이 없이도 최대 300만 원의 손해배상액을 지급토록 하는 법정 손해배상제도도 도입될 계획이다.
민웅기 기자 minwg08@ilyo.co.kr
