 |
지난 11일 서울 시내 한 휴대폰 판매점의 모습. 연합뉴스 |
 |
김보라미 | 법률사무소 디케 변호사
올해 4월14일, 글로벌 보안업체 트렌드마이크로는 충격적인 발표를 했다. ‘비피에프도어’(BPFDoor)라는 악성코드를 통해 한국 등 아시아 국가들을 표적으로 한 대규모 공격이 발견되었다는 것이다. 특히 이 보고서는 지난해 7월과 12월에 한국의 통신사가 공격받았다는 사실을 명시했다. 유명 보안연구 전문 매체인 ‘프랙’(Phrack) 역시 이후 케이티(KT)와 엘지(LG)유플러스의 해킹 정황을 구체적인 유출 수준까지 공개했다.
에스케이(SK)텔레콤이 이 공격을 인지한 것은 4월18일이었지만, 20일에야 공식 신고가 들어갔다. 조사 결과, 무려 10년 가까이 보안 취약점이 있는 운영체제(OS)에 대한 보안 업데이트도 전혀 하지 않았고, 해커는 2021년부터 내부망에 침입해 다수 서버에 악성 프로그램을 설치했던 것으로 나타났다. 특히 2022년 2월 해커 침입 사실을 확인했음에도 별다른 조치를 취하지 않았고, 유심 인증 키(Ki) 2614만4363건 역시 암호화되지도 않았다.
전 국민의 절반 가까이 되는 개인정보가 기본적인 보안수칙도 지키지 않아 유출되었음에도, 과학기술정보통신부는 케이티와 엘지유플러스에 끌려다녔다. 류제명 과기정통부 제2차관이 주재했던 지난 7월4일 에스케이티 해킹 사건 조사 발표에선 “케이티와 엘지유플러스도 에스케이티에 준하는 실태점검을 진행했으나 피해 사례가 나오지 않았다”는 설명이 나왔다. 이는 사실과 달랐다.
지난 2일 국회 과학기술정보방송통신위원회에서 류제명 차관은 ‘다크웹에 유출된 자료가 케이티와 엘지유플러스의 정보와 일치해서 신고를 권유했으나, 통신사들이 이에 동의하지 않았고, 케이티는 서버를 파기했다’는 취지로 답변했다. 즉, 에스케이티 해킹 사건의 심각성을 고려해 이때라도 내부 점검을 해야 했음에도, ‘기업들 자체 조사 결과 해킹 흔적이 발견되지 않았다’는 부인만 했던 것이다.
이후 드러난 케이티의 해킹 사고는 참담한 수준이다. 첫 피해 제보 이후 열흘여가 지난 9월9일에야 피해 사실을 인정하고 한국인터넷진흥원(KISA)에 신고했으나 유출과 피해 수준은 점점 증가하는 상황이다.
개인정보보호위원회는 에스케이텔레콤에 대해 과징금 1347억9100만원을 부과했지만 연매출 17조9406억원(2024년 기준)에 견주면 미미한 수준이다. 개인정보보호법상 관련 매출액의 3%까지 과징금을 부과할 수 있고, 위반 기간과 유출 정도 등을 고려할 때 매우 중대한 위반 행위인 점에 비해 과징금 수준은 기대에 한참 미치지 못한다. 개인정보위는 사상 최대 과징금이라고 하지만, 케이티는 에스케이티 해킹 사고를 담당한 대형 로펌에 자신의 사건도 맡겼다. 에스케이티의 과징금 수준이면 손해가 아니라고 판단했기 때문으로 해석된다. 두 회사가 해킹 사건에 회피적 대응을 하는 모습이 상당히 유사한 이유도 거기에 있을 것이다. 이 대형 로펌에는 초대 개인정보위원장이 임기를 마친 뒤 고문으로 재직하고 있다.
이런 상황에서 개인정보 보호와 보안에 투자하느니 공무원들의 회전문 역할을 하는 대형 로펌에 비용을 지불하는 것이 더 경제적인 구조라고 생각될 수 있다. 엘지유플러스 개인정보 유출 사건 때는 과징금이 68억원에 그쳐 대형 로펌이 상당한 득을 봤다는 소문도 있다. 과기정통부, 개인정보위와 같은 주무 규제기관이 대형 로펌과 긴밀한 관계를 맺고, 또 고위직 공무원들, 또는 주요 업무를 담당하던 직원들 역시 대형 로펌으로 이직하고 있다. 몇년 전 중요 정책 가이드라인 제작 업무를 담당하던 사무관도 갑자기 김앤장으로 이직한 일도 있었다.
에스케이티나 케이티와 같은 대기업들이, 법을 지키지 않고, 규제기관을 무서워하지 않는 모습은 심각한 문제다.
무엇보다도, 대형 로펌의 과도한 영향력을 차단할 필요가 크다. 중요 위원회의 구성이나 중요 정책을 숙의하거나 결정하는 과정에서 대형 로펌 관계자들 참여의 제한이 필요하다. 둘째, 개인정보 보호와 보안 사고에 대한 제재 수준을 대폭 강화해야 한다. 보안 투자에 나서도록 만들 만큼 충분히 강력한 제재가 필요하다. 셋째, 개인정보 보호 업무의 조사 권한을 대폭 강화하고 조직을 확충해야 한다. 개인정보보호위는 현재 전국의 모든 단체의 개인정보 보호에 대하여 조사할 수 있음에도 전체 정원이 190명밖에 되지 않는다(2024년 12월31일 기준). 총원이 264명인 국가인권위원회, 724명인 공정거래위원회와 비교하더라도, 현재 개인정보보호위의 전문 인력은 최소 100명 이상 증가해야 독립적이면서도 전문적인 조사 업무를 할 수 있을 것이다.
▶▶[한겨레 후원하기] 시민과 함께 민주주의를!
▶▶민주주의, 필사적으로 지키는 방법 [책 보러가기]
▶▶한겨레 뉴스레터 모아보기
이 기사의 카테고리는 언론사의 분류를 따릅니다.
![“여친과 싸운 뒤 분풀이 폭주로 3명 참변”…‘사형 집행유예’ 논란 [여기는 중국]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F10%2F2026%2F01%2F11%2Fe94b8fb5fb434eceab50f3e8159e2010.jpg&w=384&q=100)
