같은 저울, 다른 무게…SKT 개보위 과징금에 KT·구글 재소환 [IT클로즈업]

[디지털데일리 강소현 기자] 지난해 유심(USIM) 해킹 사고로 개인정보보호위원회로부터 역대 최대 규모의 과징금을 부과받은 SK텔레콤이 결국 법원의 판단을 받게 됐다.

최근 몇 년간 개인정보위를 상대로 한 행정소송에서 처분이 뒤집힌 사례는 없다. 절차적 정당성이 인정될 경우 행정소송은 행정기관에 유리한 구조이기 때문이다.

그럼에도 변수는 존재한다. 2012년 870만 고객의 주민등록번호가 유출됐던 KT, 2022년 이용자 동의 없이 행태 정보를 활용해 부당이득을 취한 구글에 대한 제재 건과의 형평성이다.

이에 이번 소송은 단순한 처분 취소 여부를 넘어 과징금 산정 기준이 일관됐는지, 제재가 실제 사고 예방과 책임 강화라는 목적에 부합하는지를 가늠하는 시험대가 될 전망이다.

◆ 개인정보 유출 SKT에 과징금 1347억원…역대 최대 규모

20일 관련 업계에 따르면 SK텔레콤은 전날(19일) 서울행정법원에 개인정보위의 과징금 부과 처분 취소 소송을 제기했다. 행정소송 제기 기한을 하루 앞두고 내린 결정으로, 소송 대리는 김앤장이 맡았다.

이번 소송은 지난해 4월 발생한 유심(USIM) 해킹 사고와 관련한 개인정보위의 제재에 대한 것이다.

당시 SK텔레콤의 홈가입자인증서버(HSS)가 해킹되면서 총 25종, 2696만건의 정보가 유출됐다. HSS는 음성 서비스 가입자 인증을 담당하는 핵심 서버로, 유출 정보에는 전화번호와 가입자식별번호(IMSI), 인증키(Ki/OPc) 등 불법 유심 복제에 악용될 수 있는 정보도 포함된 것으로 알려졌다.

개인정보위는 해당 사고에 대한 책임을 물어 SK텔레콤에 과징금 1347억9100만원과 과태료 960만원을 부과했다. 개인정보 보호 관련 제재 가운데 역대 최대 규모다.

◆ 다시 소환된 2022년 구글 과징금…쟁점은 형평성

SK텔레콤은 이번 소송에서 사고 인지 이후 자진 신고를 했다는 점을 강조할 것으로 보인다. 또 고객 보호 조치와 정보보호 강화를 위한 후속 대응에 나섰음에도, 이러한 부분이 과징금 산정에 충분히 반영되지 않았다고 주장할 전망이다.

현행법상 자진 신고와 피해 확산 방지 노력, 개인정보 보호를 위한 사전·사후 조치 등은 과징금 감경 사유로 규정돼 있다. SK텔레콤 관계자는 “개인정보위의 과징금 처분에 대해 법원의 면밀한 판단을 받아보고자 한다”고 말했다.

과거 전례를 고려하면 처분 자체를 뒤집기는 쉽지 않을 것이란 관측이 우세하다. 다만 역대 최대 규모의 과징금이 부과된 사안인 만큼 산정 기준의 일관성과 제재의 형평성을 둘러싼 쟁점이 이번 소송의 핵심 변수로 거론된다.

가장 큰 쟁점은 SK텔레콤 이전 최대 과징금을 부과받았던 구글 사례와 비교했을 때, 개인정보위의 제재 기준과 무게가 동일하게 적용됐는지 여부다.

개인정보위는 구글이 이용자 동의 없이 행태 정보를 수집·활용해 매출과 직결되는 부당이득을 취했다며 692억원의 과징금을 부과했다. 반면 SK텔레콤 사안에서는 해킹 사고로 인해 매출과 연동되는 부당이득이 있었는지에 대한 판단이 충분히 이뤄졌는지가 쟁점으로 남는다.

업계 한 전문가는 “과징금은 부당이득 환수와 징벌적 성격이 결합된 제재”라며 “사고로 인해 실제로 어떤 이익이 발생했는지에 대한 판단이 선행되지 않는다면 매출 연동 방식의 과징금이 합리적인지에 대한 의문이 제기될 수 있다”고 말했다.

◆ “잘못의 경중과 과징금 규모 사이 비례성 유지돼야”

2016년 KT의 행정소송 승소 판결 역시 이번 소송에서 참고 사례로 거론된다. KT는 해킹으로 870만명의 개인정보가 유출된 사건과 관련해 방송통신위원회로부터 과징금 7000만원을 부과받았으나, 이에 불복해 제기한 행정소송 1심에서 승소한 바 있다.

당시 해커가 고객정보 조회 프로그램을 통해 주민등록번호 등 민감 정보를 빼냈고 KT의 사고 인지 또한 수개월 지연됐음에도 재판부는 “해킹을 완전히 차단할 수 있는 완벽한 기술은 없다”며 과징금 처분이 과도하다고 판단했다. 해킹의 불가항력성을 인정한 셈이다.

학계에선 두 사례가 곧바로 SK텔레콤 제재 완화의 근거로 해석돼서는 안 된다는 점을 분명히 하면서도, 책임의 무게만 놓고 보면 당시 KT는 대규모 개인정보 유출과 늦은 사고 인지·대응이 겹쳤고 구글은 부당이득을 취한 점에서 현재 SK텔레콤 사안보다 오히려 무겁게 평가될 여지도 있다고 봤다.

결국 이번 SK텔레콤 소송이 승패를 떠나 개인정보 보호 제재가 어떤 기준과 논리로 작동해야 하는지를 다시 묻는 계기가 될 것이라 학계는 보고 있다. 잘못의 경중과 과징금 규모 사이의 비례성이 흔들릴 경우 제재는 경각심이 아니라 혼란을 낳을 수 있다는 지적이다.

업계 한 전문가는 “기업이 개인정보위를 상대로 승소한 전례가 없다고 단정하기에는 행정처분 취소 소송에 대한 통계적 축적 자체가 아직 충분하지 않다”며 “감독 주체가 방통위에서 개인정보위로 바뀌긴 했지만 사안이 유사하다면 동일한 법리를 주장해볼 여지는 충분히 있다”고 말했다.

또 다른 전문가는 “당시 KT 사건에서는 업계 평균 이상의 보안 수준을 갖추고 있었던 점이 불가항력으로 고려된 측면이 있다”며 “다만 최근에는 개인정보 보호에 대한 사회적 인식과 요구 수준이 크게 높아졌다는 점에서 동일선상에서 비교하기는 어렵다”고 분석했다.

한편 SK텔레콤의 소장이 법원에 접수되면 담당 재판부가 지정될 전망이다. 이후 개인정보위의 답변서를 거쳐 변론기일이 진행된 뒤, 재판부가 종합적으로 판단해 판결을 선고할 예정이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -