SKT 과징금, 정보 무단수집한 구글의 2배…역대 최대 과징금 적정성 논란

개인정보위, 역대 최대 결정
안전조치 미이행 책임 크지만
해킹 피해기업에 더 큰 제재는
형평성과는 거리 멀어 지적

해외사례와 비교해도 이례적
1.1억건 유출된 미국 T모바일
과징금은 216억원에 그쳐

서울 시내의 한 SKT 직영점. [연합뉴스]

개인정보보호위원회가 28일 SK텔레콤에 역대 최대 규모 과징금 1347억9100만원을 부과한 배경에는 기본적인 안전조치를 이행했다면 대규모 유심 정보 유출을 막을 수 있었다는 판단이 깔려 있다. 2차 피해 사례는 확인되지 않았지만, 정보가 외부로 빠져나가는 과정에서 관리 소홀과 법 위반이 다수 드러났다는 것이다. 고학수 개인정보위원장이 이날 브리핑에서 “대규모 개인정보를 보유한 사업자는 관련 예산과 인력을 비용이 아닌 필수 투자로 인식해야 한다”고 밝힌 것도 이러한 인식을 반영한다.

실제로 개인정보위에 따르면 해커는 2021년 SK텔레콤 내부망에 침투해 서버에 악성 프로그램을 심었고, 2022년에는 통합고객인증시스템으로 거점을 넓혔다. 올해 4월에는 홈가입자서버 데이터베이스에서 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종, 총 9.82GB(기가바이트) 규모의 개인정보가 외부로 유출됐다. 피해 범위는 LTE와 5G 전체 가입자에 달했다.

이 과정에서 보안 관리 부실이 여럿 확인됐다. SK텔레콤은 인터넷망과 내부망을 분리하지 않고 동일한 네트워크로 운영해 외부 침투가 가능하도록 했고 침입탐지시스템의 이상 로그도 점검하지 않았으며, 2016년 취약점이 보고된 ‘더티카우’도 방치했다. 개인정보위는 “2000만건이 넘는 유심 인증키는 암호화 없이 평문으로 저장됐다”면서 “접근권한 관리도 허술해 수천 개의 계정 정보가 보호조치 없이 남아 있었으며 개인정보보호책임자(CPO)는 인프라스트럭처 영역을 사실상 관리하지 못한 것으로 드러났다”고 밝혔다.

사고 이후 대응도 미흡했다는 게 개인정보위 판단이다. 개인정보보호법은 유출 사실을 안 뒤 72시간 내 통지를 의무화하고 있지만, SK텔레콤은 지난 5월 9일 유출 가능성을 통지했으며 유출 확정 통지는 지난달 28일에 완료했다. 개인정보위는 이를 근거로 SK텔레콤이 현행법에서 규정한 최소한의 의무조차 이행하지 않았다고 판단했다. 개인정보위는 이날 재발 방지를 위한 시정 명령도 병행했는데 △CPO의 실질적 역할 보장 △위탁 관리·감독 철저 △3개월 내 재발방지 대책 수립·보고 △사고 발생 네트워크·시스템의 ISMS-P 인증 취득 등을 요구했다.

다만 과징금 규모를 두고는 통신업계에서 여러 뒷말이 나오고 있다. 대표적인 게 구글·메타 등 해외 기업들과의 형평성 논란이다. 구글과 메타는 맞춤형 광고에 활용하기 위해 사용자 동의 없이 개인정보를 광고에 사용했다는 이유로 2022년 각각 692억원, 308억원의 과징금을 부과받았다. 영리 목적으로 고의적으로 규정을 위반한 두 기업들과 달리 SK텔레콤은 해킹 피해 기업인만큼, 더 큰 제재가 내려진 것은 형평성과는 거리가 멀다는 게 업계 지적이다.

과징금 규모는 글로벌 사례와 비교해도 이례적이다. 미국 T모바일은 1억1000만건 유출로 216억원, AT&T는 890만건 유출로 178억원의 제재를 받는 등 유심 정보가 해킹당한 통신사에 200억원 안팎의 과징금이 부과됐다.

업계에서는 법 체계 간 비례성 문제도 거론된다. 신용정보법은 개인신용정보 유출 시 과징금 상한을 50억원으로 규정한다. SK텔레콤보다 많은 13.2TB(테라바이트) 규모의 개인정보가 탈취된 것으로 알려진 SGI서울보증보험도 이 법을 적용받는다.

반면 SK텔레콤은 신용정보보다 민감도가 낮은 유심 정보 유출 사건에 대해 1300억원대 과징금 처분을 받았다. 개인정보위는 법 위반 시 관련 사업 전체 매출액의 3%까지 과징금을 매길 수 있도록 한 개인정보법 개정안에 따라 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했다고 밝혔는데, 이는 지나치게 기계적인 해석이라는 비판이 나온다. SK텔레콤은 “유심정보 유출에 매출 3% 수준의 과징금을 부과하는 것은 과도하다”는 입장이다.

일각에서는 과징금 중심의 제재가 기업의 자진 신고와 정보 공유를 위축시킬 수 있다는 우려도 나온다. 실제로 지난해 침해사고를 겪은 기업 중 신고 비율이 20%에 미치지 못했다는 조사 결과가 있다. 영국은 2020년 브리티시항공 해킹 사건에서 신속 보고와 보완 조치를 근거로 과징금을 90% 감경한 사례가 있어, 국내도 재발 방지를 중심으로 제도를 전환할 필요성이 제기된다. 업계 관계자는 “이번 사건은 지능형지속위협(APT) 공격 특성이 뚜렷해 기존 보안 기술만으로 대응하기 어렵다”며 “국가 차원의 방어 체계가 필요한 사안”이라고 말했다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]