[일문일답] SKT 정보유출 ‘매우 중대한 위반행위’…“구글 사건과 다르다”

[디지털데일리 최민지기자] 개인정보보호위원회(이하 개인정보위)가 SK텔레콤에게 역대 최대 과징금을 부과했다. 개인정보위는 종합적으로 이번 SK텔레콤 개인정보유출 사건을 조사한 결과, ‘매우 중대한 위반행위’라고 판단했다.

개인정보위는 지난 27일 제18회 전체회의를 열고 개인정보보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억9100만원과 과태료 960만원 부과를 의결했다고 28일 밝혔다. 또한 전반적인 시스템 점검, 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치를 주문했다.

개인정보보호법상 과징금은 매출액 3% 이내에서 부과할 수 있고, 유출사안과 관련 없는 매출액은 산정기준에서 제외된다. 개인정보위는 SK텔레콤 LTE·5G 이동통신서비스 매출액을 기준으로 산정했다. 다만, 3G나 법인 매출 등 위반행위와 관련 없는 매출을 제외했다.

이와 함께 개인정보위는 다수의 안전조치 의무 위반사항이 유출사고의 직접적 원인이 됐다고 봤다. 더군다나 가입자 인증에 필요한 유심인증키 등 핵심정보가 유출됐고, 2300만명 대규모 개인정보가 유출된 점 등을 고려해 ‘매우 중대한 위반행위’로 정했다는 설명이다. SK텔레콤 위반행위 기간이 2년 이상 장기간 지속된 부분은 가중요소에 포함됐다.

일부 감경 적용한 부분도 있다. SK텔레콤이 유출 사고 관련 위반행위를 시정한 점, 이용자 피해 회복을 위해 노력한 점, 기타 개인정보보호 노력 등이 반영됐다.

이날 개인정보위 고학수 위원장은 이번 SK텔레콤 사건은 692억원 과징금을 부과한 구글과 다르다고 못 박았다. 지금까지 개인정보위가 부과한 역대 최대 과징금은 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용한 구글과 메타에 각각 692억원·308억원을 부과한 총 1000억원이다.

고학수 위원장은 “SK텔레콤은 유출사고지만, 구글·메타건은 침해사고로 과징금 정하는 기준과 고시 자체가 다르다”며 “직접적 비교 자체가 어렵다”고 설명했다.

다음은 개인정보위 고학수 위원장과의 일문일답.

Q. 역대 최대 과징금 규모를 산정하게 된 경위와 배경은 무엇인가?

▲과징금 고시에 따라 기준금액을 정한 후, 중대성 판단을 한다. 이후 1차 가중‧감경, 2차 가중‧감경, 최종 과징금 액수를 단계별로 정한다. 각각의 단계에서의 구체적인 액수를 밝히기는 곤란하다. SK텔레콤 연결 재무제표상 연간 매출액은 약 17조원이다. 이중 관련된 LTE와 5G 매출액을 고려했고, 개인이 아닌 법인 고객 매출 등은 이번 사건과 관련 없는 매출을 제외했다.

위원회는 이번 사건에 대해 매우 중대한 위반행위로 결정했다. 위반 기간이 3년이 넘었다. 고시에 따르면 2년 이상일 경우 가중된다. 다만 직접적 경제적 이득을 취하지 않은 부분과 피해보상 및 회사 시정 조치 노력 등을 반영해 감경했다.

Q. 어떤 부분을 매우 중대한 위반 행위로 봤는가?

▲유출된 정보의 본질적 성격이 중대하고, 2300만건 이상 정보가 유출됐다. 지난 몇 년에 걸쳐 취약한 상태가 노출돼 있었고, 고시의 여러 항목을 위반했다.

꽤 오랜기간 전반적으로 허술한 상태를 유지하고 있었다. 총체적으로 취약한 상태에 놓여 있었다. 조치를 취할 수 있는 계기들이 있었는데 긴 기간임에도 놓쳤다. 위원들 전반적으로 답답함을 느꼈다.

1위 통신사이고, 국민 절반 가량 이용하는 통신사다. 사회와 타인과 소통함에 있어 핸드폰은 결정적 창구이고, 궁극적 출발점은 유심정보다. 유심정보 유출된 점은 중대하다. 회사가 이를 잘 관리하지 못한 문제 의식이 있었다.

Q. 구글 때와 달리 비교적 빠르게 4개월간 조사 후 결론을 냈다.

▲실무자들 사이에선 ‘맨(인력) 아워(시간)’라는 표현을 쓴다. 개인정보위는 4월 유출신고 들어온 후 TF를 꾸리고, 다른 건과 비교할 수 없을 정도 많은 맨 아워를 투입했다. 개인정보위 사상 이례적으로 많은 인력을 투입했다. 조사 전문가뿐 아니라 회계, 법률 전문가 등 위원회할 수 있는 역량을 최대한 발휘했다. 현장 조사관 경우 회사 내부 상황을 파악하기 위해 몇 달간 현장에 상주했다. 이로 인해 사실파악이 상대적으로 빨랐다.

Q. SK텔레콤이 관리의 허술함은 있었으나, 해커로 인해 발생한 사건이다. 구글과 메타와 비교해 과징금이 과도하다고 보는 입장도 있다.

▲구글과 메타건 경우, 과징금 정하는 기준과 관련 고시 자체가 SK텔레콤건과 다르다. 직접적 비교 자체를 하기 어렵다.

SK텔레콤 사건은 유출사고 카테고리다. 해커 침입으로 정보가 유출됐는데, 상대적으로 해커 침입 정보가 내부 시스템에 있으니 빨리 조사할수록 수월한다. 다만, 기간이 오래될수록 로그기록이 사라지니 파악하기 어려워진다.

구글·메타 경우는 유출사고가 아닌 침해사고다. 본질적으로 이 사건을 어떻게 볼지에 대해 논의하는 과정이 오래 걸렸다. 다른 종류의 사안이다.

Q. 유출 정보가 개인정보인지 판단하는게 쟁점이었다. 왜 개인정보로 판단했는가?

▲유출신고가 들어왔을 때부터 당연하게 개인정보라고 생각했다. 핵심정보인 유심정보가 유출된 것이니, 개인정보가 아니라고 의심해본 적 없다. SK텔레콤은 고객에게 개인정보 유출 공지를 했고, 개인정보위에 ‘개인정보가 아닌 것 같다’는 항변을 한 적 없다.

Q. 유심복제 사회적 우려가 크다고 말했는데, 과기정통부에서는 복제폰 만들기 어렵다고 했다. 개인정보위는 유심복제가 된다고 보는 것인가?

▲유심카드를 다른 공기계에 옮겨서 이용하는 건 흔히 가능하다. 과거엔 일반적으로 가능했고, 지금 SK텔레콤 경우엔 거의 불가능하다. 이유는 사고 이후 유심보호서비스를 전체 가입자에 적용했기 때문이다. 또한, 금융영역에서 쓰는 이상탐지 기술(FDS) 등을 마련해 적용했다. 유심보호 서비스를 통해 IMEI를 추가적으로 확인하고, FDS를 통해 이상접속을 확인하는 부분이 완벽히 작용하면 유심복제 어렵다.

Q. 기존 SK텔레콤 CPO(CISO)는 통신 인프라에 관여하지 못한 반쪽 역할만 한 것으로 조사됐다.

▲사건 발생 이후 SK텔레콤은 새로운 CISO‧CPO를 영입했다. 그 과정에서 조직개편을 일부 했다고 한다. 물론 아직 완결된 건 아니다. SK텔레콤은 유사한 문제가 생기지 않도록 고민하고 있었다.

조사 과정에서 파악한 문제 중 하나는 IT전반을 다루는 부서와 인프라 다루는 부서 사이에 역할 구분이 있었다. 회사 내부 역할상 CPO가 네트워크 인프라를 볼 수도 있지만, 현실적으로는 제한적인 업무 관행이 만들어져 있었다. 어떤 식으로 CPO가 네트워크 전반을 볼 수 있는 체계를 만들 것인가에 대해선 계속 고민해야 한다. SK텔레콤은 위원회와 소통하면서 효과성 있게 거버넌스 체계를 마련할지 만들어가는 과정에 있다.

Q. 다른 기업들도 해킹 당하면 비슷한 규모로 제재할 건가?

▲모든 사건엔 다 독특한 특징이 있다. 일관성있게 법을 적용하는 건 당연하지만, 개별 사건 특수성도 고려돼야 한다.

Q. 지난 27일 SK텔레콤이 전체회의에 출석해 어떤 의견들을 개진했는가?

▲지난 몇 달간 SK텔레콤은 굉장히 적극적으로 회사 입장을 소명하고, 법적인 절차 관점에서도 매우 적극적으로 대응했다. 합법적인 선에서 할 수 있는 건 다 하겠다는 모습이었다. 그런데 어제는 약간 달랐다. SK텔레콤은 어제 “사실은 문제가 있었고, 아쉽고, 죄송하다”고 말했다. 적극적으로 소통하면서 문제가 생기지 않도록 하겠다는 취지의 설명을 다각도로 했고, 여타 사건에 비해 긴 시간을 질의응답에 사용했다.

Q. 전체회의에 위원 2명이 참석하지 않은 것으로 알고 있다. 과징금 관련해 위원 간 이견은 없었는가?

▲9명 중 7명이 회의했다. 두 분은 회피했다. 당사자가 공정한 판단을 저해할 수 있다고 스스로 판단해 회피하겠다고 했다. 규정상 의결정족은 과반수다. 절차적으로는 문제 없다.

전날 회의뿐 아니라, 이전에도 위원들 사이에 간담회를 4차례 했다. 개별 사건 하나로 4번씩이나 간담회를 했던 건, 제가 위원장으로 있었던 시기에는 처음이다. 저녁 식사시간을 넘겨 김밥을 먹으면서 계속 논의했다. 위원들 사이 처음부터 의견이 일치되지 않았다. 오히려 그러면 이상하다. 투표는 없었다. 다양한 의견을 주고받고 논의하면서, 컨센서스를 이뤄냈다.

Q. SK텔레콤 측에서 행정소송 나설 것으로 예상된다. 개인정보위 입장은?

▲SK텔레콤 추후 소송할지 여부를 우리가 예단해서 말하기는 어렵다.

Q. 2022년 6월부터 2024년 12월까지 유출 기록이 없다고 돼 있다.

▲ICAS와 HSS가 외부에 연결돼 있었다. HSS 서버에서 정보 유출된 부분은 명확히 상황 파악을 했다. ICAS에서 나간 정보는 이미 3년 넘는 기간 취약한 상태에 노출돼 있었다. 방화벽 로그는 4개월치만 남아있었다. 이전 기간 유출 여부 자체를 확인 불가한 상태다.

Q. 분쟁조쟁은 재개되는가?

▲집단분쟁조정은 3건(2000명), 개인 조정신청건은 600건 이상이다. 향수 신청자 늘어날 가능성 있다. 처분 내려졌기 때문에 분쟁조정 절차 재개된다.

Q. 데이터가 싱가포르로 유출됐다고 언급한 바 있는데, 국제공조 계획은 있는가?

▲싱가포르 거쳐서 어디로 갔는지 파악해야 한다. 그건 개인정보위가 관여하는 영역이 아니라, 수사당국에서 수사하고 있는 부분이다.

Q. 9월 발표할 개인정보 안전관리체계 강화 종합대책엔 어떤 내용이 담기는가?

▲기업과 기관 현장에 있는 분들이 수동적이고 기계적으로 법률, 고시, 지침, 해설서 등에서 최소한의 것만 하고 있다. 이것만 하면 해결된다고 생각하는 관행과 문화가 깨져야 한다. 법이나 고시에 있는 건 최소한이고, 더 필요하다고 현장에서 느끼는 분위기를 만들어야 한다. 추가적인 조치를 하면 인센티브를 줘야 한다. 개인정보 업무를 담당하는 분들은 책임만 떠맡고 조직 내 중요 역할을 부여받지 못하는 경우가 많아, 이를 개선할 수 있는 방향으로 준비하고 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -