SKT 과징금 수천억원대?…개인정보위 "LGU+와 비교 어려울 정도로 클 것"

[사진=개인정보위]

SK텔레콤의 유심 해킹 사태와 관련해 수천억원대의 과징금이 부과될 수 있다는 분석이 나온다. 회사의 핵심 정보를 담고 있는 내부 폐쇄망에서 해킹이 일어났고, 악성코드를 막기 위한 백신을 설치하지 않는 등 회사의 과실이 드러났다. 

SKT 정보 유출 사태를 조사 중인 개인정보보호위원회는 SKT가 기본적인 보안 조치가 미흡하다고 보고, 과거와는 비교할 수 없을 정도로 큰 과징금이 부과될 수 있다고 언급했다.

고학수 개인정보위 위원장은 지난 8일 주한미국상공회의소(암참) 주최 간담회에서 강연을 마친 후 기자들과 만나 "해킹 사태를 빚은 SK텔레콤의 과징금은 2년전 LG유플러스와 비교가 어려울 정도로 클 것”이라고 밝혔다.

앞서 개인정보위는 2023년 7월 약 30만건의 고객 정보를 유출한 LG유플러스에 68억원을 부과한 바 있다.

고 위원장은 "지금 드러난 정황만 보더라도 LG유플러스 때와는 상황이 굉장히 다르다"면서 "LG유플러스 유출이 약간 부수적인 데이터베이스에서였다면, 이번 SKT 유출은 홈가입자서버(HSS)라는 핵심적인 서버"라고 설명했다. 

개인정보 유출 규모도 크게 다르다. LG유플러스는 30만건이었으나, SKT는 전체 이용자인 2500만명 수준으로 파악된다. 현행법상 유출된 정보가 개인을 직접 식별할 수 없더라도, 다른 정보와 결합해 식별이 가능하면 개인정보로 보고 있다. 개인정보위는 현재까지 확인된 25종의 정보를 개인정보로 보고 조사 중에 있다. 

또 개인정보보호법상 과징금 산정 규모도 강화됐다. LG유플러스 때에는 과징금 상한액이 '위법행위와 관련된 매출액의 3%'였지만, 재작년 9월 법 개정 후 '전체 매출액의 3%'로 조정됐다. 

위반행위와 관련 없음이 증명된 매출액에 대해선 과징금 산정에서 제외되지만, 유출규모와 핵심 서버 해킹이라는 점을 감안하면 수천억원대의 과징금이 나올 수 있다는 전망이 나온다. SKT의 지난해 매출액 17조9406억원의 3%에 달하는 5300억원의 과징금이 부과될수도 있다. 

또한 개인정보 관련 기술적 조치 미흡 등 SKT의 과실도 드러났다. 개인정보위에 따르면, 유출 경로가 된 주요 시스템에 악성프로그램 방지를 위한 보안프로그램이 설치되지 않았던 점을 확인했다. 이는 개인정보 관련 기본적인 기술적·관리적 조치가 미흡했다고 보고있다. 개인정보위는 1차적으로 침해사고가 있었던 HSS(음성통화관련) 서버 및 WCDR(과금관련) 서버 외 휴대전화 개통 시스템, 인증 시스템, 과금 시스템 등 주요 개인정보처리시스템을 대상으로, 보호법상 안전조치의무 준수 여부에 대한 전수조사를 진행 중이다. 

다만, 고 위원장은 "과징금 산정은 조사 상황이 전반적으로 밝혀진 이후의 부분이기 때문에 실제 과징금 액수는 지금 얘기할 수 있는 단계는 아니다"며 "사안이 중대한 만큼 속도를 내고 있으며, 다른 (조사 중인) 사안보다 우선해서 진행하고 있다"고 밝혔다. 

고 위원장은 미국무역대표부(USTR)이 한국의 개인정보보호법을 비관세 무역 장벽으로 지목한 점과 관련해 "오해를 설명하고 있다"고 설명했다. 

고 위원장은 "USTR 보고서엔 실제로 관련 법을 어떻게 해석하고 집행하는지 잘 반영되지 않은 것 같다"며 "글로벌 기업이라도 과징금 부과시 한국 시장 매출액에 한정해서 과징금 계산을 한다"고 설명했다.

한국에서 수집한 정보의 해외 이전 시 제약이 많다는 USTR의 주장도 오해라고 해명했다. 고 위원장은 "구글, 메타, 마이크로소프트 등은 한국에서 개인정보를 직접 수집한 뒤 다른 나라에 있는 서버로 보내 처리한다"며 "제약은 현실적으로 존재하지 않는다"고 말했다.